背景
春节刚过,黑产团队就开始了新的一年的工作。21日晚上九点多,正准备回家享受快乐时光呢,钉钉就响了,客户应急来了,8台机器感染挖矿木马病毒。根据今天看的默安科技发的文章说是”Linux DDG变种挖矿病毒”,挖矿病毒这两年也处理了不少了,但是这次的应急受益匪浅,值得记录一下。
0x00 事件处理过程
0x01 传播途径
此次事件从网上收集了下,途径不止有被通报的Redis,
- Jenkins RCE 漏洞
- Nexus RCE 漏洞
- Redis未授权访问or弱口令
然后被感染后受害者会尝试进行对外或内网SSH爆破、Redis探测并入侵
0x02 处理流程
获取busybox
为什么要获取busybox?这就是此次事件的特别之处,如果你使用top、ps等系统命令是看不到挖矿进程的,因为挖矿病毒修改了系统的动态链接库配置文件/etc/ld.so.preload
内容并引用了/usr/local/lib/libioset.so
,所以有些运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持, ls会导致/etc/cron.d/root文件被刷写为病毒定时执行命令。
而busybox是静态编译的,不依赖于系统的动态链接库,从而不受ld.so.preload
的劫持,能够正常操作文件。
|
|
PS: 这里跟客户学到个命令,这条命令也是可以显示恶意进程的,有兴趣的可以查查。
|
|
病毒文件
|
|
关闭crontab
|
|
修改hosts
修改/etc/hosts
来屏蔽病毒脚本下载,域名为解密sh文件之后出现的两个域名。
|
|
删除,创建,并锁定 crontab相关文件
使用chattr
加i
属性来防止文件被修改,查看具有哪些属性使用lsattr
|
|
备份重要的crontab,然后删除cron.d目录的其他文件
|
|
检查并删除下面目录是否有异常文件
|
|
删除病毒相关执行文件和启动脚本
|
|
删除病毒进程
|
|
删除被preload的so库
|
|
验证libioset.so被卸载
|
|
若结果为空, 则该动态链接库被卸载;
若有输出,kill掉占用的进程,重复执行该步骤;
若反复执行后无法成功卸载该动态链接库,请执行服务重启操作。
一键清理脚本
默安科技也发了一个一键清理脚本,在此基础上,自己改了改。
|
|
0x03 事件总结
此次事件客户有9台服务器被感染,其中主要的一台是我们拿到信息之后发现只开放了,Nginx-80和Jenkins-8080,然后就被误导了。。。
首先使用了CVE-2019-1003000-jenkins-rce-poc,但是这个漏洞是需要具有Overall/Read”
权限的用户才能完成。然后想起来前两天Orange发了个PreAuth的
|
|
POC:
|
|
但是我利用这个POC是可以打成功在shodan上的,但是没办法客户的无法成功,一度相当困惑。
后来看到异常文件:
然后想起来前两天RR大佬也爆了个Nexus的RCE,Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238】,然后试了下,成功了
剩下的几台就是Redis未授权访问导致的了,具体可以参考:未授权访问漏洞总结
彩蛋
这次应急让我意外的是恶意的下载的sh脚本
|
|
访问之后base64解密看到之后相当惊喜:
|
|
这是啥?这本来是攻击者为了让服务器资源都用在自己的挖矿进程上,关闭其他可能存在的挖矿及DDoS木马。
这TM真是良心啊!都不用整理了!以后遇到挖矿的事件拿出来一把梭!!!
|
|
使用chattr解锁相关文件,并删除;清除CPU占用率超过百分之80的进程
|
|
清除billgates挖矿木马相关文件、进程。
|
|
总体来说此次挖矿的幕后操作者相当的良心,诚意满满!学到了!
参考文章
https://mp.weixin.qq.com/s/7HyO9gVdgDYL4x7DKCVgZA
http://man.linuxde.net/ldconfig
https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc
http://vulsee.com/archives/vulsee_2019/0220_7345.html