V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
zhongjun96
V2EX  ›  Linux

服务器疑似被入侵,怎么看这个文件执行了什么?

  •  
  •   zhongjun96 · 123 天前 · 4349 次点击
    这是一个创建于 123 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。

    进一步排查发现 historylast 被清空。被安装了 python3 ,npm
    添加了两个 cron 任务

    @reboot /usr/bin/sshu > /dev/null 2>&1 & disown
    @monthly /usr/bin/sshu > /dev/null 2>&1 & disown
    

    sshu 文件地址_Github

    新增了两个用户 bashserver

    怎么看这个文件执行了什么?

    第 1 条附言  ·  123 天前
    目前已知是挖矿文件,不过还不知道是怎么中招的,开了 ssh 密钥登录。
    https://imgur.com/IcUVjIJ
    第 2 条附言  ·  123 天前
    检查 frp 日志,最近 7 天,发现 60 万次尝试登录这台设备的日志。
    可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
    第 3 条附言  ·  122 天前
    [捂脸] 菜鸡不太了解服务器,让大家看笑话了。
    不过机器上只有 k3s 和 nginx 。
    nginx 是指向 k3s 的。没搞懂哪里中招了。
    第 4 条附言  ·  122 天前
    伪装成 system 服务
    https://imgur.com/DGf8iVS
    43 条回复    2024-07-07 17:14:01 +08:00
    zhongjun96
        1
    zhongjun96  
    OP
       123 天前
    一部分 dpkg 日志
    aloxaf
        2
    aloxaf  
       123 天前   ❤️ 1
    好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
    瞅瞅 /var/log/log 是啥?
    dream10201
        3
    dream10201  
       123 天前   ❤️ 1
    /var/log 目录下应该还有一个 log 执行文件,这个才是主要
    vituralfuture
        4
    vituralfuture  
       123 天前   ❤️ 1
    大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构

    使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序

    简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序

    使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑

    这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history
    zhongjun96
        5
    zhongjun96  
    OP
       123 天前
    https://github.com/zhongjun96/zhongjun96/blob/main/log

    @aloxaf @dream10201 @vituralfuture

    log 文件已经上传,各位大佬帮忙看看?
    zhongjun96
        6
    zhongjun96  
    OP
       123 天前
    火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?
    g5tf87
        7
    g5tf87  
       123 天前   ❤️ 1
    log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig
    zhongjun96
        8
    zhongjun96  
    OP
       123 天前
    @g5tf87 #7 看 cpu 和内存占用。1~3 一直 100%。但是看 top 又没看到是哪个进程
    HiroLee
        9
    HiroLee  
       123 天前
    sshu 文件 如何分析?
    HiroLee
        10
    HiroLee  
       123 天前
    如何获取的 sshu 文件
    retanoj
        11
    retanoj  
       123 天前   ❤️ 1
    log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件

    你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表?
    LoeNet
        12
    LoeNet  
       123 天前
    strace -p $pid 可以不?
    zhongjun96
        13
    zhongjun96  
    OP
       123 天前
    @retanoj #11 的确是挖矿文件,找到了连接
    badboy200600
        14
    badboy200600  
       123 天前
    如何才能看有没有被注入挖矿?
    1423
        15
    1423  
       123 天前
    ssh 版本?难道是最新的漏洞?
    LieEar
        16
    LieEar  
       123 天前
    openssh 有漏洞了,是不是和这个有关?
    dode
        17
    dode  
       123 天前
    备份数据,格式化重新安装,分析漏洞原因
    fulajickhz
        18
    fulajickhz  
       123 天前
    关注 希望能找到被入侵的漏洞
    guisheng
        19
    guisheng  
       123 天前 via iPhone
    安装了哪些软件或者服务 方便说下么
    wentx
        20
    wentx  
       123 天前
    https://v2ex.com/t/1054091#reply88

    ????? 这么快
    zhongjun96
        21
    zhongjun96  
    OP
       123 天前
    @1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
    zhongjun96
        22
    zhongjun96  
    OP
       123 天前
    @badboy200600 #14 我是通过 lsof -i 看连接看到的
    zed1018
        23
    zed1018  
       123 天前
    @zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10
    Remember
        24
    Remember  
       123 天前
    不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。
    zhongjun96
        25
    zhongjun96  
    OP
       123 天前
    @wentx #20 不确定和这个是否有关,几台物理机机器同时中招。
    acess
        26
    acess  
       123 天前
    @Remember 诶哪里提到的,关掉密码登录就不受影响了?
    retanoj
        27
    retanoj  
       123 天前
    @zhongjun96 #13
    你这。。 你一直说 “SSH 只开了秘钥登录,不知道怎么中招的”
    实际上你这张图里显示还有 nginx 服务,后面有什么还不一定
    imlonghao
        28
    imlonghao  
       123 天前 via iPhone
    对外开放的端口列表发一下
    iminto
        29
    iminto  
       123 天前 via Android
    楼主偏激了,揪着 openssh 不放。

    关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。
    比如 PHP 漏洞,比如 tomcat 漏洞。。。
    m1nm13
        30
    m1nm13  
       123 天前
    一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口
    tuiL2
        31
    tuiL2  
       123 天前
    看看你的其他服务的日志,有没有执行什么奇怪的请求
    r3a1ex0n0
        32
    r3a1ex0n0  
       122 天前   ❤️ 1
    不是 CVE-2024-6387
    zhongjun96
        33
    zhongjun96  
    OP
       122 天前
    @iminto #29 不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx
    zhongjun96
        34
    zhongjun96  
    OP
       122 天前
    @imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。
    zhongjun96
        35
    zhongjun96  
    OP
       122 天前
    @imlonghao #28 一共只开放了 22 和 80,443 。
    80,443 都是 nginx 直接转发到 k3s 服务的。
    MoeMoesakura
        36
    MoeMoesakura  
       122 天前
    k3s cve?
    retanoj
        37
    retanoj  
       122 天前
    查一下 22 端口的 SSH 是不是 root 用户弱口令?
    查一下 k3s 集群是否开放了 anonymous 匿名访问?
    查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限?
    zhongjun96
        38
    zhongjun96  
    OP
       122 天前
    @retanoj #37
    ssh 设置了 PasswordAuthentication no 。
    root 密码也是英文加符号加数字。
    k3s 并未开启 anonymous-auth
    retanoj
        39
    retanoj  
       122 天前
    @zhongjun96 #38
    那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥?
    这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录?

    以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口?
    julyclyde
        40
    julyclyde  
       122 天前
    @Remember 哪儿来的谣传 64 位不容易成功入侵?这都 2024 年了
    ekucn
        41
    ekucn  
       122 天前 via iPhone
    @julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。
    julyclyde
        42
    julyclyde  
       121 天前
    @ekucn 学习了
    Paulownia
        43
    Paulownia  
       118 天前
    楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   988 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:17 · PVG 04:17 · LAX 13:17 · JFK 16:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.