前段時間,幫朋友搭建的CMS網站,被阿里雲報警,告知主動連接惡意的URL,於是登陸到阿里雲后台檢查情況,前幾天沒空,只做了簡單的查和殺,今天有空來繼續分析和排查下問題。
本人的水平有限,只是做基本排查給小白提供一種思路罷了,也是這次檢測過程的一種分析吧。
一 可疑進程排查
先是用TOP命令查詢下是否有占用CPU和內存過多的進程,目前有個Donald進程,占CPU為200%。據了解,沒有這個進程,很可能是個木馬程序。
秉承着先治療后排查原因的原則,先查下這個這個進程的打開文件和連接情況:
lsof -p 1543
通過查看網絡連接情況,發現可疑進程:
netstat -antp
這樣的方法同樣指向 這個可疑的進程:Donald
還有個HTTPS的連接:
這些木馬竟然用HTTPS進行交互,就沒辦法用流量分析的方法進行分析流量,來了解他的真實意圖了。
通過微步在線查詢系統,查詢遠程連接的IP情報信息:
https://x.threatbook.cn/nodev4/ip/119.9.76.107
通過這上面來看,應該是一種挖礦的木馬程序,看到這些檢測引擎檢測出木馬,那反過來,是否可以通過這些殺毒引擎在Linux上進程查殺那?
二 木馬刪除和處理
通過上面的分析,基本確定了,這個是個挖礦的木馬程序,先把這個木馬殺掉吧。
1)kill -9 1543
發現殺掉后,立刻被啟動了,接着檢查下crontab -l ,發現果然做了crontab,如下:
通過腳本來看,是下載一個shell程序,通過上面的辦法查詢下這個可疑的地址:https://x.threatbook.cn/nodev4/ip/152.136.42.90
不過從腳本來看是15分鍾去下載一次,不是自動重啟,不過既然發現了,先刪除吧,crontab -e
然后dd刪除下,再通過wq保存退出。
當然不能僅僅刪除這個crontab,再去搜下腳本,很奇怪,沒有搜索到下載位置。
2)刪除木馬程序
通過剛才的分析已經找到木馬的位置和掛馬的時間是12月20日,這個時間比較重要,先刪除下木馬程序吧,進入/tmp目錄,亂七八糟的文件全部刪除,這次木馬沒有重啟,但是仍然有個心病,木馬到底是通過什么方式自動啟動的。
三 改密碼和刪除賬號
1)刪除掉木馬程序,停止非法連接后,下面的緊急工作,我覺得就是改密碼了,把網站管理密碼,主機的密碼都改成強安全密碼。
2)排查賬號信息,防止黑客新建了賬號
cat /etc/passwd 發現改動時間是12月21日,但是查了下賬號都是正常賬號,先忽略。
cat /var/log/secure|grep “failure”
查看這個信息,可以看到大量登陸失敗信息,可能是再爆破ssh。可惜已經沒有20日的日志了,沒看到是否是通過爆破成功獲取到密碼的。
四 木馬自啟動原因排查
- 分析下網絡連接情況。沒有可疑的網絡連接的情況,所以排除了遠程控制來啟動的可能,那么重啟機制一定是在linux主機上設置的。
- 排查本機各種可能的情況:
1) crontab位置,已經排查和清除。
2) at命令,這個是一次性的執行任務的命令,但是最好看下,是否有個程序在定時添加這個命令也說不定,at -l 查下,結果沒有。
3) 主機自動啟動腳本: cat /etc/rc.d/rc.local 沒查到可疑的主機啟動時候,自動啟動腳本,其實剛才的機制顯然不是這個造成的,但是排查下這個位置防止以后啟動主機還會啟動木馬。
4) 查看下每次登陸自動執行腳本:
檢查:cd /etc/profile.d/未發現可疑的腳本。
查看root用戶下.bash_profile 和.bashrc, .bash_logout是否有可疑的啟動腳本信息,也未發現。
查看/etc/init.d 目錄下是否有可疑腳本,也未發現。
5) 通過chkconfig 來查看,三個進程也是正常的:
這里面的netconsole是一個將dmesg內核日志信息發送到另外一台主機的方法,是阿里雲主機使用的,忽略。
到這里面,我已經沒有什么思路了,各種可能的位置都找了,還是沒有發現。換一個思路,去看下木馬怎么進來了,根據日志去排查更改的文件信息吧。
五 阿里雲查看
后面到找朋友要了阿里雲的賬號,去查看下,果然和分析的差不多,看看阿里雲上跟多的信息
通過分析來看,2019年12月20日9點58分的時候,已經獲取到root的密碼了,進行了登陸,接着下載連接。
再看看下載源和惡意程序信息:
阿里雲上有很多告警,有挖礦程序和訪問惡意ip等。
下載可疑的腳本:
這個和我們上面看到的crontab的內容類似。
進入此目錄刪除可疑程序:
學習下阿里的排查挖礦程序的辦法:https://helpcdn.aliyun.com/knowledge_detail/41206.html
六 溯源追蹤
找出突破口,還是比較關鍵,只是查殺,洞沒堵住,下次還是被人輕易的攻進來。重點分析下web的日志信息:
6.1 企圖創建一句話木馬
從信息來看是進行下載病毒文件,生成本地的一句話木馬,不過通過信息來看是windows下的命令執行,結果顯示沒成功,這是think PHP V5的漏洞,看起來要升級下PHP的版本。
[https://blog.csdn.net/weixin_34068198/article/details/89571126]可以通過下面的鏈接了解下。(https://blog.csdn.net/weixin_34068198/article/details/89571126)
6.2 利用masscan信息掃描
6.3 刪除/tmp下載木馬
大概知道了,應該是從網站進來的,對於木馬還有沒有后門,后續如何處理,還沒底,先下載個殺毒軟件殺下吧。
七 殺毒軟件安裝
ClamAV是一個在命令行下查毒軟件,因為它不將殺毒作為主要功能,默認只能查出您計算機內的病毒,但是無法清除,至多刪除文件。
對我來說,是個不錯的東東,下載運行玩玩。
1.安裝殺毒軟件:
yum install clamav clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd pcre* gcc zlib zlib-devel libssl-devel libssl openssl
也可以下載源碼包編譯安裝:https://www.clamav.net/downloads
源碼編譯安裝可以參考:https://blog.csdn.net/xianweijian/article/details/60577372
- 配置 網上參考來的
前面的創建用戶和一些目錄的步驟參考:https://www.cnblogs.com/kerrycode/p/4754820.html
編輯配置文件:
這些位置沒有就新建。vim /etc/clamd.d/scan.conf #Example 注釋掉這一行. 添加下面三行: LogFile /usr/local/clamav/logs/clamd.log PidFile /usr/local/clamav/updata/clamd.pid DatabaseDirectory /usr/local/clamav/updatavim /etc/freshclam.conf DatabaseDirectory /usr/local/clamav/updata UpdateLogFile /usr/local/clamav/logs/freshclam.log PidFile /usr/local/clamav/updata/freshclam.pid
3) 切換到clamav用戶 更新病毒庫:
/usr/bin/freshclam
更新完畢:
4)運行掃描
先查看下幫助信息,可以通過:clamscan -r —bell -i / 運行掃描所有目錄,且有問題報出來
/usr/bin/clamscan -h
八 最終結論
1)通過以上分析,木馬是通過網站的php漏洞進入的,所以堵住這個漏洞最好,查了下目前的php版本是7.2版本,這個版本確實存在遠程漏洞, CVE-2019-11043 ,具體見:https://cloud.tencent.com/developer/article/1529746。
2)用的是Apache,這上面的漏洞也挺多的,這上面也是個突破口。
3)還有其他一些沒用的服務,目前直接停掉了。
綜上分析,下一階段,重點升級下php和apache ,這次比較遺憾,沒有分析出提權的過程,另外木馬程序停的比較早,沒分析出更多有價值的信息來。