记一次 NAS 被入侵植入挖矿病毒的解决方案
本帖最后由 西门惊鸿 于 2020-11-18 14:43 编辑本文原发表于自己的网站:信聚合
记一次 NAS 被入侵植入挖矿病毒的解决方案
最近收到了ISP发来的邮件,显示自己的ip发出了大量的ssh链接。那么肯定是有问题了。
从路由器开始查吧,翻log和连接状态发现, 这些连接都是NAS发出的。 一共3400多个,肯定不正常
登录NAS,
top 查看发现
2843 root 20 0 793988 16816 2648 S 26.5 3.3 148:58.35 .koworker
然后通过命令
netstat -natp
发现大量连接是通过: PID为 2843/koworker 生成的
应该是一个挖矿病毒
那么就着手开始清理吧
先杀掉那个进程
kill 2843
然后过了一会儿,它又出现了
31858 root 20 0 793732 7760 2028 S 16.5 1.5 0:07.82 .koworker
有问题。
查了一下crontab, NAS里面我是没有写过任何的cron命令的,但是现在有如下两条
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
很好,至少给我指明了方向:
清除掉crontab
先去/usr/bin/中删除 .koworker
顺便看了一下这个文件夹中所有的隐藏文件,发现一个.cron, 内容和crontab的一样。一起删除了吧
然后去/root/中删除.tmp00文件夹
删除之前我还看了一下那个bash文件,里面全是乱码。如所料这是一个编译后的文件(非bash脚本)无法直接查看。
居然删不掉,会自动生成
重新看了一下crontab 第一行会自动生成
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
继续尝试
根据.tmp00中列出的文件
-rwxr-xr-x 1 root root 4193056 Oct7 11:32 bash
-rwxr-xr-x 1 root root 1463596 Oct7 11:32 bash_arm
-rw-rw-rw- 1 root root 0 Oct7 11:32 bash.pid
-rw-rw-rw- 1 root root 880 Oct7 11:32 cfg
-rw-rw-rw- 1 root root 880 Oct7 11:32 cfgi
-rw-rw-rw- 1 root root 36 Oct7 11:32 uuid
先取消bash和bash_arm的执行权限
chmod -x *
然后杀掉进程bash 和 bash_arm
pkill bash
pkill bash_arm
之后编辑.tmp00/bash随便删除几行,破坏掉它
继续编辑.tmp00/bash_arm, 同样破坏掉
再次尝试删除.tmp00
成功!
修改crontab
同样成功了
现在查看一下以下文件,是否同样被感染
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/system
/etc/cron.d/root
/etc/cron.hourly/oanacron
/etc/cron.daily/oanacron
/etc/cron.monthly/oanacron
/etc/cron.monthly/oanacron3
在/var/spool/cron/crontabs/发现除了root还有大量的tmp.[*]的文件
-rw------- 1 root crontab 300 Aug 242019 tmp.EavkeE
-rw------- 1 root crontab 300 Nov 192019 tmp.eEA8ez
-rw------- 1 root crontab 300 Sep 29 01:00 tmp.Ej7nqe
-rw------- 1 root crontab 0 Jan 212020 tmp.F5H4lW
-rw------- 1 root crontab 300 Sep 12 01:00 tmp.F6VTAO
-rw------- 1 root crontab 300 Dec 212019 tmp.fbpyez
-rw------- 1 root crontab 300 Jul 12 01:00 tmp.fDZPnF
-rw------- 1 root crontab 300 Jan 102020 tmp.FhAMiv
-rw------- 1 root crontab 300 May 14 01:00 tmp.fPStrS
-rw------- 1 root crontab 300 May7 01:00 tmp.FRVG1a
-rw------- 1 root crontab 300 Jan 312020 tmp.g3u3hO
-rw------- 1 root crontab 300 Feb 162020 tmp.GAV3gn
-rw------- 1 root crontab 300 Sep82019 tmp.GHnDOv
-rw------- 1 root crontab 0 Sep 122019 tmp.gjpVBi
-rw------- 1 root crontab 300 Oct 252019 tmp.Glp2y4
-rw------- 1 root crontab 300 Jun 12 01:00 tmp.gMNzXy
-rw------- 1 root crontab 300 Oct 172019 tmp.GqBJOS
-rw------- 1 root crontab 300 Mar 142020 tmp.Gthj5Y
-rw------- 1 root crontab 300 Sep2 01:00 tmp.h3uCzs
-rw------- 1 root crontab 300 Jul 25 01:00 tmp.HF7YR1
-rw------- 1 root crontab 300 Mar 222020 tmp.HLXJ1R
-rw------- 1 root crontab 300 Jan 222020 tmp.HqsHSV
-rw------- 1 root crontab 300 Mar 162020 tmp.hyqbhF
-rw------- 1 root crontab 300 Aug 282019 tmp.IF0DvV
-rw------- 1 root crontab 300 Sep 20 01:00 tmp.imPp7K
里面内容是:(举例)
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Wed Apr 22 01:00:19 2020)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
不用客气,全删了
应该差不多了
最后用 ClamAV 执行全盘扫描:
clamscan -r --bell -i /
会比较花时间,但是值得做一次
完成后,重启NAS
又查看了一下路由器,连接都是正常的了
后记:
[*]改掉所有密码
[*]关掉NAS的SSH,或者只接受本地ssh连接
[*]设置防火墙,去掉不必要的端口
[*]控制权限
虽然看不懂,但是感觉很N{:1_921:} 怀疑是挖矿病毒控制器,这类病毒在top里面会显示成具有奇怪名字的进程。换一下ssh端口,修改密码可以有效防止暴力破解。
另:Linux/Unix 中了病毒建议重装 这个木马还是不太狠,有些挖矿木马CPU会到100%,服务器根本动不了。 之前遇到过,没处理好,最后重装了系统,楼主的方法学习下,以防万一 楼主用的是啥 NAS ? peanut54134 发表于 2021-3-9 22:17
楼主用的是啥 NAS ?
netgear的,当时什么都不懂,买了个最便宜的。
页:
[1]