江苏龙网

  1. 主页 > 生活百科 > >

阿里云被植入挖矿木马事件( 二 )

阿里云


4、下个定时周期到来时 , 服务器自动下载远程脚本并执行;
5、遍历该主机可以免密码登录的其他主机 , 远程连接并执行代码 。
远程脚本执行时 , 会重新修改定时任务等文件 , 保证可以持续感染主机 , 同时也隐藏了第一次感染的痕迹 。之后每个定时周期到来时 , 都会重复4、5两个步骤 。
排查漏洞
服务器中没有activeMQ,没有.ssh文件夹 。小编也根据代码流程 , 感染了一下自己的redis , 但是并没有达到预期的结果 。
本人用的redis文件保存的时候是二进制的 , 不是字符串 , 根本无法被定时任务执行 , 但是修改感染脚本 , 可以完成黑客设置的既定思路 。
结合阿里云之前修改过密码的情况 , 本次感染可能有两种来源:
1、以前发现了被感染 , 但木马没有被清理干净;
2、木马作者会定期修改自己的代码来感染不同版本的redis , 甚至是去利用其它软件的漏洞 。
另外一个代码变动的证据就是netstat命令的二进制文件遭到篡改 , 这显然是为了应对运维人员排查异常网络连接而设计的 , 但本次检查木马代码时 , 并没有发现与netstat命令有关的操作 。
清理木马
清理过程分两步:删除木马文件和修补当前漏洞 。
删除木马文件
根据木马的代码 , 写了清理脚本 , 如下:
1#!/bin/bash
2ps auxf | grep -v grep | grep kworkerds | awk '{print $2}'| xargs kill-9
3
4chattr -i /usr/ local/bin/dns /etc/cron.d/root /etc/cron.d/Apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload
5echo""> /usr/ local/bin/dns
6echo""> /etc/cron.d/root
7echo""> /etc/cron.d/apache
8echo""> /var/spool/cron/root
9echo""> /var/spool/cron/crontabs/root
10rm -rf /etc/cron.hourly/oanacroner
11rm -rf /etc/cron.daily/oanacroner
12rm -rf /etc/cron.monthly/oanacroner
13
14sed -i '/cron.hourly/d'/etc/crontab
15sed -i '/cron.daily/d'/etc/crontab
16sed -i '/usr/local/bin/dns/d'/etc/crontab
17
18#sed -i '$d' /etc/ld.so.preload
19rm -rf /usr/ local/lib/libntpd.so
20
21#/tmp/.a可以不删,木马是通过此文件判断是否要卸载阿里云盾
22#rm -rf /tmp/.a
23rm -rf /bin/kworkerds
24rm -rf /tmp/kworkerds
25rm -rf /usr/sbin/kworkerds
26rm -rf /etc/init.d/kworker
27chkconfig --del kworker
脚本仅供大家参考 , 在执行之前还是要对照一下具体的环境 。
除此之外 , 还需要排查一下系统中是否有异常用户 , 异常的服务和异常的监听端口 。毕竟服务器被入侵过 , 绝不能等闲视之 。
修补漏洞
以redis为例 , 修补漏洞有很多种方法:
1、限制端口 , 使其对外不可连接;
2、不要使用root运行reids;
3、及时更新软件 , 修补漏洞;
4、修改默认端口;
6 。对重要命令重命名;
。。。
关于这个问题 , 阿里云也有详细的安全加固方案:
https://help.aliyun.com/knowledge_detail/37447.html
编者的话
黑客一词听起来感觉酷酷的 , 因为世界上确有一批崇尚用技术实现“开放、自由、真实、平等、美好生活”的人 , 他们离经叛道 , 闪闪发光 。然而 , 通常情况下非法获取利益的黑客仅仅是一个小偷而已 , 喜欢的是不劳而获 , 而不是技术本身 , 技术水平也只能是一般 。
希望大家从技术交流 , 防范风险的角度看待文中提供的木马资料 , 不要走上违法犯罪的道路 。从另一个角度讲 , 信息安全无小事 , 文中的木马仅仅是挖矿 , 事实上 , 该漏洞足以让黑客在你的服务器上做任何事 , 大家万万不可掉以轻心 。

【阿里云被植入挖矿木马事件】


推荐阅读


上一篇:大型 IT 公司如何防止运维偷窥和篡改数据

下一篇:玉露的养护知识 玉露寿怎么养