背景
发现一台服务器,CPU使用率一直50%左右,top查看一进程名称为
-bash,按c查看详情,名称显示为python
十分可疑
image.png
清除过程
查看crontab -l,发现有一个定时任务,路径为/opt/.new/-bash,是一个脚本,其内容是运行同目录的x86_64程序
image.png
杀掉进程,清空crontab内容,并删除此目录文件,发现过一阵进程又被启动起来了
查看/etc/cron.hourly,发现有一个sync文件,还是会定时执行,内容为
cp -f -r -- /bin/sysdrr /usr/bin/-bash 2>/dev/null
cd /usr/bin/ 2>/dev/null
./-bash -c >/dev/null
rm -rf -- -bash 2>/dev/null
此文件还被加了保护权限,需要用chattr去除后删除
chattr -i sync
rm sync
cron.daily cron.weekly cron.monthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除
进一步研究
删除/opt/.new目录时,发现此目录下还有一个/opt/.md目录,内容如下
image.png
其中22x3,3x22,p,r都是脚本,内容相似
a是另一个脚本,start是另一个脚本
但是这些脚本里面基本上都是调用两个工具,以22x3脚本为例!
image.png
可以看到分别使用了masscan工具和haiduc工具,经查询这两个工具属于黑客扫描和暴力破解工具。
为了验证,还可以使用clamav查毒软件查杀一下
# 安装clamav软件,centos / unbuntu
yum install clamav
apt install clamav
# 下载病毒库
freshclam
# 查杀
clamscan -r /opt/.md -l /opt/clamav.log
image.png
病毒运行原理是
- 随机扫描其他机器的端口,例如22x3,就是扫描22xx开头的端口,3x22则是扫描xx22结尾的端口,r是扫描1-65000之间的任意端口。对扫描到的端口查看其banner信息,结果保存到ips.xxx文件。masscan工具介绍
- 对ips.xxx文件中,banner是OpenSSH的,提取IP地址,结果保存到scan.log
- 对scan.log中的IP进行暴力破解密码,使用的密码字典是pass文件,结果输出到gasite.txt。
值得注意的是,脚本绕开了一个叫143.110.238.121的IP地址,
通过情报社区查询,此IP确实有问题
image.png
查看密码字典,会对一些常见的用户名和密码进行组合尝试
image.png
了解这些以后,为了更好防范此类病毒
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
其他
其他常用的诊断命令
ll /proc/PID # 查看某进程的详细资料
stat filename # 查看某文件的详细情况
pstree # 查看进程树
netstat -atnp #查看网络连接
ss -t -a -pl #也是查看网络连接的
