好友
阅读权限10
听众
最后登录1970-1-1
|
西门惊鸿
发表于 2020-11-13 07:32
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 西门惊鸿 于 2020-11-18 14:43 编辑
本文原发表于自己的网站:信聚合
记一次 NAS 被入侵植入挖矿病毒的解决方案
最近收到了ISP发来的邮件,显示自己的ip发出了大量的ssh链接。那么肯定是有问题了。
从路由器开始查吧,翻log和连接状态发现, 这些连接都是NAS发出的。 一共3400多个,肯定不正常
登录NAS,
top 查看发现
[Bash shell] 纯文本查看 复制代码 2843 root 20 0 793988 16816 2648 S 26.5 3.3 148:58.35 .koworker
然后通过命令
[Bash shell] 纯文本查看 复制代码 netstat -natp
发现大量连接是通过: PID为 2843/koworker 生成的
应该是一个挖矿病毒
那么就着手开始清理吧
先杀掉那个进程
[Bash shell] 纯文本查看 复制代码 kill 2843
然后过了一会儿,它又出现了
[Bash shell] 纯文本查看 复制代码 31858 root 20 0 793732 7760 2028 S 16.5 1.5 0:07.82 .koworker
有问题。
查了一下crontab, NAS里面我是没有写过任何的cron命令的,但是现在有如下两条
[Bash shell] 纯文本查看 复制代码 */1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
很好,至少给我指明了方向:
清除掉crontab
先去/usr/bin/中删除 .koworker
顺便看了一下这个文件夹中所有的隐藏文件,发现一个.cron, 内容和crontab的一样。一起删除了吧
然后去/root/中删除.tmp00文件夹
删除之前我还看了一下那个bash文件,里面全是乱码。如所料这是一个编译后的文件(非bash脚本)无法直接查看。
居然删不掉,会自动生成
重新看了一下crontab 第一行会自动生成
[Bash shell] 纯文本查看 复制代码 */1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
继续尝试
根据.tmp00中列出的文件
[Bash shell] 纯文本查看 复制代码 -rwxr-xr-x 1 root root 4193056 Oct 7 11:32 bash
-rwxr-xr-x 1 root root 1463596 Oct 7 11:32 bash_arm
-rw-rw-rw- 1 root root 0 Oct 7 11:32 bash.pid
-rw-rw-rw- 1 root root 880 Oct 7 11:32 cfg
-rw-rw-rw- 1 root root 880 Oct 7 11:32 cfgi
-rw-rw-rw- 1 root root 36 Oct 7 11:32 uuid
先取消bash和bash_arm的执行权限
[Bash shell] 纯文本查看 复制代码 chmod -x *
然后杀掉进程bash 和 bash_arm
[Bash shell] 纯文本查看 复制代码 pkill bash
pkill bash_arm
之后编辑.tmp00/bash随便删除几行,破坏掉它
继续编辑.tmp00/bash_arm, 同样破坏掉
再次尝试删除.tmp00
成功!
修改crontab
同样成功了
现在查看一下以下文件,是否同样被感染
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/system
/etc/cron.d/root
/etc/cron.hourly/oanacron
/etc/cron.daily/oanacron
/etc/cron.monthly/oanacron
/etc/cron.monthly/oanacron3
在/var/spool/cron/crontabs/发现除了root还有大量的tmp.的文件
[Bash shell] 纯文本查看 复制代码
-rw------- 1 root crontab 300 Aug 24 2019 tmp.EavkeE
-rw------- 1 root crontab 300 Nov 19 2019 tmp.eEA8ez
-rw------- 1 root crontab 300 Sep 29 01:00 tmp.Ej7nqe
-rw------- 1 root crontab 0 Jan 21 2020 tmp.F5H4lW
-rw------- 1 root crontab 300 Sep 12 01:00 tmp.F6VTAO
-rw------- 1 root crontab 300 Dec 21 2019 tmp.fbpyez
-rw------- 1 root crontab 300 Jul 12 01:00 tmp.fDZPnF
-rw------- 1 root crontab 300 Jan 10 2020 tmp.FhAMiv
-rw------- 1 root crontab 300 May 14 01:00 tmp.fPStrS
-rw------- 1 root crontab 300 May 7 01:00 tmp.FRVG1a
-rw------- 1 root crontab 300 Jan 31 2020 tmp.g3u3hO
-rw------- 1 root crontab 300 Feb 16 2020 tmp.GAV3gn
-rw------- 1 root crontab 300 Sep 8 2019 tmp.GHnDOv
-rw------- 1 root crontab 0 Sep 12 2019 tmp.gjpVBi
-rw------- 1 root crontab 300 Oct 25 2019 tmp.Glp2y4
-rw------- 1 root crontab 300 Jun 12 01:00 tmp.gMNzXy
-rw------- 1 root crontab 300 Oct 17 2019 tmp.GqBJOS
-rw------- 1 root crontab 300 Mar 14 2020 tmp.Gthj5Y
-rw------- 1 root crontab 300 Sep 2 01:00 tmp.h3uCzs
-rw------- 1 root crontab 300 Jul 25 01:00 tmp.HF7YR1
-rw------- 1 root crontab 300 Mar 22 2020 tmp.HLXJ1R
-rw------- 1 root crontab 300 Jan 22 2020 tmp.HqsHSV
-rw------- 1 root crontab 300 Mar 16 2020 tmp.hyqbhF
-rw------- 1 root crontab 300 Aug 28 2019 tmp.IF0DvV
-rw------- 1 root crontab 300 Sep 20 01:00 tmp.imPp7K
里面内容是:(举例)
[Bash shell] 纯文本查看 复制代码 # DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Wed Apr 22 01:00:19 2020)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
不用客气,全删了
应该差不多了
最后用 ClamAV 执行全盘扫描:
[Bash shell] 纯文本查看 复制代码 clamscan -r --bell -i /
会比较花时间,但是值得做一次
完成后,重启NAS
又查看了一下路由器,连接都是正常的了
后记:
- 改掉所有密码
- 关掉NAS的SSH,或者只接受本地ssh连接
- 设置防火墙,去掉不必要的端口
- 控制权限
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
|
发表于 2021-3-16 11:02
