新的一天的開始
周五早上剛到公司,同事來問我系統為啥打不開了?我第一反應就是肯定 Nginx 服務器掛了唄,立馬就去登錄服務器看看,但此時發現已經完全遠程登錄不上這台部署了 Nginx 和 Redis 的服務器了,此刻心理活動如下:
難道服務器欠費了?
難道服務器到期了?
都不對阿,一起買的一堆服務器就單單這一台有問題,肯定是這台服務器掛了吧?
同事馬上登錄美團雲管理后台看了下,當時我們也猜測估計是什么軟件占用了系統大量內存或CPU,果然在管理后台發現這台機器 CPU 使用率巨高。
在完全遠程登錄不上服務器的情況下,此刻是無法做任何操作的,除了通過管理后台重啟這一條路可走之外,所以我們選擇重啟了服務器。重啟完各種軟件后並沒發現沒有任何異常,這時候我們部門不僅人美技術也牛的花姐說了一句這么開玩笑的話,大家都哈哈一笑后就開開心的去吃中午飯了。
中午睡了一覺后
吃完中午飯,我睡了一會兒,夢里好像看到黑客在對我笑,醒來看到花姐說的那個 gpg-agentd 進程比較高后,就隨手搜了一下這個進程,卧槽,流弊阿...
看到這個后,我丟在了群里后,大家震驚了,原來服務器真的在用來挖礦了。隨后就和不僅開車 666 修 bug 也是老司機的 Jack 一起與挖礦腳本進行了斗爭,我們首先在網絡上找了一篇類似的文章:記一次Redis數據庫漏洞被入侵現象,這哥們兒和我們遇到的是同一個被黑的套路,簡單總結具體黑客操作如下:
利用了 redis 特性可以把緩存內容寫入本地文件的漏洞,他就可以隨便在服務器的
/root/.ssh/authorized_keys
文件中寫入公鑰,在用本地的私鑰去登陸被寫入公鑰的服務器,就無需密碼就可以登陸,登錄之后就開始定期執行計划任務,下載腳本,更牛逼的是,他還可以利用
masscan 進行全網掃描redis 服務器 6379 的端口,尋找下一個個肉雞,如果你的 redis
端口是默認6379,並且還沒有密碼保護,很容易就被攻破解,最后也就是說這個腳本會迅速在全網裂變式增加。
那么問題來了,我們的服務器 redis 是有密碼的,到底是怎么在 authorized_keys 寫入公鑰的?
首先猜到的肯定就是密碼泄漏了唄,看了眼我們密碼,大小寫加數字隨機生成的,不容易破解阿,暴力破解?敲了個 lastb 命令看了一眼后,被掃了五十萬次次次,我們信了這個暴力破解暴力破解暴力破解 。。。
黑客到底是怎么黑進來的?
找到了原因,但還沒清楚黑客到底是怎么黑進來的?入侵后具體都做了什么事,下面就大概還原下黑客視角入侵全過程,首先看到的就是多了個定時任務。
然后,curl 命令請求下這個地址后,發現這個腳本(這個腳本簡直 666 )全內容如下:
第一步,先在/root/.ssh/authorized_keys文件中生成ssh公鑰,黑客以后無需密碼就可以登錄了,簡直給自己鋪路搭橋666;
第二步,建立定時任務,作用是每20分鍾去他們服務器再次下載這個腳本,然后執行,這一步簡直就是讓自己殺不死;
第三步,開機啟動項也加入下載腳本命令,也就是你重啟后會自動下載,fuck...
接下來,又改了 hosts、limits 限制,最重要的是這個腳本還記得去清除上述所有操作,不留下痕跡,佩服!!!
這個腳本執行完,后面再去執行其他三個腳本,把這個幾個腳本都下載下來后,我們接着分析
這個腳本,只有一個作用,就是去下載真正的挖礦文件,也就是占用 CPU 居高的那個 gpg-agentd,操作也是很流弊的,刪除所有操作記錄和文件,這個黑客也是處女座?不留下一絲痕跡。
正常人來干這挖礦這件事的話,應該到這一步就可以打完收工了,因為已經安裝成功挖礦軟件了。那你要這么想、這么做,你不適合當黑客。更流弊的操作來了!!!
第三個腳本,這里他就是貼心的給你安裝、升級 gcc、libpcap 和 apt-get 等軟件命令,他真的這么好么?其實他是為了順手下載了一個名字叫 masscan 的軟件,然后裝了上去,同時也順手做了處理現場操作,在下佩服!!
那這個 masscan 是干嘛的呢?
據說 masscan 是最快的互聯網端口掃描器,最快可以在六分鍾內掃遍互聯網。
第四個腳本來了,這個腳本就是用masscan來掃redis 的 6379端口,對redis進行配置,利用了redis把緩存內容寫入本地文件的漏洞,在/root/.ssh/authorized_keys文件中寫入公鑰,登錄之后就開始定期執行計划任務,下載腳本。
總結一下
看完整個腳本操作,最后也就是說黑客不僅僅是用了你電腦挖礦這一件事,還把你電腦作為攻擊者,去尋找另外的服務器,所以這個腳本會迅速在全網裂變式讓服務器中招,這波操作也更 666 了...
最近在學習區塊鏈相關知識,感興趣可以關注下我自己的號。
看完這波操作,我突然也想去試試挖礦了...