首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
zhongjun96
V2EX  ›  Linux

服务器疑似被入侵,怎么看这个文件执行了什么?

  •   
  •   zhongjun96 · 2024-07-02 11:06:03 +08:00 · 4900 次点击
    这是一个创建于 379 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。

    进一步排查发现 historylast 被清空。被安装了 python3 ,npm
    添加了两个 cron 任务 

    @reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown

    sshu 文件地址_Github

    新增了两个用户 bashserver

    怎么看这个文件执行了什么?

    第 1 条附言  ·  2024-07-02 17:22:15 +08:00
    目前已知是挖矿文件,不过还不知道是怎么中招的,开了 ssh 密钥登录。
    https://imgur.com/IcUVjIJ
    第 2 条附言  ·  2024-07-02 19:03:34 +08:00
    检查 frp 日志,最近 7 天,发现 60 万次尝试登录这台设备的日志。
    可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
    第 3 条附言  ·  2024-07-03 08:55:29 +08:00
    [捂脸] 菜鸡不太了解服务器,让大家看笑话了。
    不过机器上只有 k3s 和 nginx 。
    nginx 是指向 k3s 的。没搞懂哪里中招了。
    第 4 条附言  ·  2024-07-03 09:27:37 +08:00
    伪装成 system 服务
    https://imgur.com/DGf8iVS
  • 入侵
  • 文件
  • cron
    43 条回复    2024-07-07 17:14:01 +08:00
    zhongjun96
        1
    zhongjun96  
    OP
       2024-07-02 11:36:53 +08:00
    一部分 dpkg 日志
    aloxaf
        2
    aloxaf  
       2024-07-02 11:52:37 +08:00   ❤️ 1
    好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
    瞅瞅 /var/log/log 是啥?
    dream10201
        3
    dream10201  
       2024-07-02 12:04:17 +08:00   ❤️ 1
    /var/log 目录下应该还有一个 log 执行文件,这个才是主要
    vituralfuture
        4
    vituralfuture  
       2024-07-02 12:08:41 +08:00   ❤️ 1
    大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构

    使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序

    简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序

    使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑

    这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history
    zhongjun96
        5
    zhongjun96  
    OP
       2024-07-02 15:33:31 +08:00
    https://github.com/zhongjun96/zhongjun96/blob/main/log

    @aloxaf @dream10201 @vituralfuture

    log 文件已经上传,各位大佬帮忙看看?
    zhongjun96
        6
    zhongjun96  
    OP
       2024-07-02 15:40:53 +08:00
    火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?
    g5tf87
        7
    g5tf87  
       2024-07-02 16:03:11 +08:00   ❤️ 1
    log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig
    zhongjun96
        8
    zhongjun96  
    OP
       2024-07-02 16:25:56 +08:00
    @g5tf87 #7 看 cpu 和内存占用。1~3 一直 100%。但是看 top 又没看到是哪个进程
    HiroLee
        9
    HiroLee  
       2024-07-02 16:48:37 +08:00
    sshu 文件 如何分析?
    HiroLee
        10
    HiroLee  
       2024-07-02 16:57:30 +08:00
    如何获取的 sshu 文件
    retanoj
        11
    retanoj  
       2024-07-02 17:01:32 +08:00   ❤️ 1
    log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件

    你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表?
    LoeNet
        12
    LoeNet  
       2024-07-02 17:11:09 +08:00
    strace -p $pid 可以不?
    zhongjun96
        13
    zhongjun96  
    OP
       2024-07-02 17:19:33 +08:00
    @retanoj #11 的确是挖矿文件,找到了连接
    badboy200600
        14
    badboy200600  
       2024-07-02 18:02:58 +08:00
    如何才能看有没有被注入挖矿?
    1423
        15
    1423  
       2024-07-02 18:05:24 +08:00
    ssh 版本?难道是最新的漏洞?
    LieEar
        16
    LieEar  
       2024-07-02 18:10:58 +08:00
    openssh 有漏洞了,是不是和这个有关?
    dode
        17
    dode  
       2024-07-02 18:19:12 +08:00
    备份数据,格式化重新安装,分析漏洞原因
    mU9vX912XopmAoE1
        18
    mU9vX912XopmAoE1  
       2024-07-02 18:42:20 +08:00
    关注 希望能找到被入侵的漏洞
    guisheng
        19
    guisheng  
       2024-07-02 18:44:39 +08:00 via iPhone
    安装了哪些软件或者服务 方便说下么
    wentx
        20
    wentx  
       2024-07-02 18:46:37 +08:00
    https://v2ex.com/t/1054091#reply88

    ????? 这么快
    zhongjun96
        21
    zhongjun96  
    OP
       2024-07-02 18:50:37 +08:00
    @1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
    zhongjun96
        22
    zhongjun96  
    OP
       2024-07-02 18:50:56 +08:00
    @badboy200600 #14 我是通过 lsof -i 看连接看到的
    zed1018
        23
    zed1018  
       2024-07-02 18:52:06 +08:00
    @zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10
    Remember
        24
    Remember  
       2024-07-02 18:52:24 +08:00
    不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。
    zhongjun96
        25
    zhongjun96  
    OP
       2024-07-02 18:52:37 +08:00
    @wentx #20 不确定和这个是否有关,几台物理机机器同时中招。
    acess
        26
    acess  
       2024-07-02 18:59:32 +08:00
    @Remember 诶哪里提到的,关掉密码登录就不受影响了?
    retanoj
        27
    retanoj  
       2024-07-02 19:20:05 +08:00
    @zhongjun96 #13
    你这。。 你一直说 “SSH 只开了秘钥登录,不知道怎么中招的”
    实际上你这张图里显示还有 nginx 服务,后面有什么还不一定
    imlonghao
        28
    imlonghao  
       2024-07-02 19:25:07 +08:00 via iPhone
    对外开放的端口列表发一下
    iminto
        29
    iminto  
       2024-07-02 19:39:25 +08:00 via Android
    楼主偏激了,揪着 openssh 不放。

    关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。
    比如 PHP 漏洞,比如 tomcat 漏洞。。。
    m1nm13
        30
    m1nm13  
       2024-07-02 19:42:56 +08:00
    一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口
    tuiL2
        31
    tuiL2  
       2024-07-02 20:20:35 +08:00
    看看你的其他服务的日志,有没有执行什么奇怪的请求
    r3a1ex0n0
        32
    r3a1ex0n0  
       2024-07-03 08:25:58 +08:00   ❤️ 1
    不是 CVE-2024-6387
    zhongjun96
        33
    zhongjun96  
    OP
       2024-07-03 08:52:39 +08:00
    @iminto #29 不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx
    zhongjun96
        34
    zhongjun96  
    OP
       2024-07-03 08:58:14 +08:00
    @imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。
    zhongjun96
        35
    zhongjun96  
    OP
       2024-07-03 09:00:10 +08:00
    @imlonghao #28 一共只开放了 22 和 80,443 。
    80,443 都是 nginx 直接转发到 k3s 服务的。
    MoeMoesakura
        36
    MoeMoesakura  
       2024-07-03 09:09:04 +08:00
    k3s cve?
    retanoj
        37
    retanoj  
       2024-07-03 09:40:42 +08:00
    查一下 22 端口的 SSH 是不是 root 用户弱口令?
    查一下 k3s 集群是否开放了 anonymous 匿名访问?
    查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限?
    zhongjun96
        38
    zhongjun96  
    OP
       2024-07-03 10:17:27 +08:00
    @retanoj #37
    ssh 设置了 PasswordAuthentication no 。
    root 密码也是英文加符号加数字。
    k3s 并未开启 anonymous-auth
    retanoj
        39
    retanoj  
       2024-07-03 10:27:08 +08:00
    @zhongjun96 #38
    那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥?
    这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录?

    以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口?
    julyclyde
        40
    julyclyde  
       2024-07-03 19:46:32 +08:00
    @Remember 哪儿来的谣传 64 位不容易成功入侵?这都 2024 年了
    ekucn
        41
    ekucn  
       2024-07-04 02:41:24 +08:00 via iPhone
    @julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。
    julyclyde
        42
    julyclyde  
       2024-07-04 11:21:03 +08:00
    @ekucn 学习了
    Paulownia
        43
    Paulownia  
       2024-07-07 17:14:01 +08:00
    楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 20:41 · PVG 04:41 · LAX 13:41 · JFK 16:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.