我被攻击了 远控服务器 系统漏洞利用 求分析
样本分享 linux服务器yespowersuger挖矿病毒
Minimal__ 2021-02-05 09:58:04 4722次浏览

中毒服务器CPU使用率高,使用自带的top命令无法查看到高占用率进程,安装unhide会触发服务器重启,下载busybox调用其ps top等命令可以看到恶意进程:


隐藏进程.png


使用 /root/rm -f /usr/bin/pamdicks 删除恶意文件后,创建同名文件后锁定防止其恢复,然后再安装unhide排查隐藏进程

排查的隐藏进程如下:

#安装unhide,查看隐藏进程

[root@slave1 ~]# unhide sys
Unhide 20130526
Copyright © 2013 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6 

Used options: 
[*]Searching for Hidden processes through getpriority() scanning

Found HIDDEN PID: 1204
        Cmdline: "/usr/bin/ip6network"
        Executable: "/usr/bin/ip6network"
        Command: "ip6network"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1209
        Cmdline: "/usr/bin/kswaped"
        Executable: "/usr/bin/kswaped"
        Command: "kswaped"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1214
        Cmdline: "/usr/bin/loadxjump"
        Executable: "/usr/bin/loadxjump"
        Command: "loadxjump"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1220
        Cmdline: "/usr/bin/loadxjump"
        Executable: "/usr/bin/loadxjump"
        Command: "loadxjump"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s

Found HIDDEN PID: 1221
        Cmdline: "/usr/bin/systemd-network"
        Executable: "/usr/bin/systemd-network"
        Command: "systemd-network"
        $USER=<undefined>
        $PWD=/etc/sysconfig/network-s



入侵方式为通过redis弱口令写入authorized_keyswen文件


防御方式:

1. redis不要用root启动

2.配置redis的bind选项,并且在iptables限定可以访问redis服务器的源ip

2.配置redis复杂密码

3.关闭公网的ssh端口,采用内网穿透方式发布ssh端口

举报
评论 (2
匿名用户 2021-03-07 14:49:35 回复 举报
感谢分享
匿名用户 2021-02-25 09:11:59 回复 举报
0
奖励计划banner
今日推荐