阿里云centos环境之被木马攻击的一次记录<持续观察中>

阿里云centos环境之被木马攻击的一次记录<完结>

1.背景

阿里云上ECS服务器上每天23点在tomcat/webapps都会自动下载下mydata.war,可以确定的是mydata.war是个木马,虽然删除但还是会定时下载

2.定时任务

首先想到的是定时任务命令crontab,crontab命令的功能是在一定的时间间隔调度一些命令的执行

查看文件/etc/crontab

vi /etc/crontab

解释:

星号(*)表示所有可用的值

符号“/”指定步进设置,如0-59/2定义每两分钟执行一次。步进值也可用星号表示。如*/3用来运行每三个月份运行指定任务。

指定数值由逗号分开。如：3,4,6,8表示这四个指定整数。

果然有个定时任务,而且每天间隔6小时就会启动一次.wipefs是什么鬼?

wipefs是linux自带的程序，用来擦除文件系统数据。正常的wipefs，路径在/usr/bin/wipefs，如果你没有做设置，不会自启动，也不会大量占用cpu。你可以看一下是否是 /bin/wipefs 进程，如果是，应该是你的机器被黑了，这是别人在你机器上放了挖矿程序。

此程序会：
1.进行挖矿计算，大量占用cpu。
2.复制自己到/bin/wipefs，创建服务/etc/init.d/wipefs，在 /etc/rc*.d 和 /etc/rc.d/rc*.d 中创建链接以实现开机启动。
3.释放子程序到 /bin/ddus-uidgen，创建服务/etc/init.d/acpidtd，并在 /etc/rc*.d 和 /etc/rc.d/rc*.d 中创建链接以实现开机启动。
4.修改/etc/resolv.conf, 可能是为其连接矿机服务的域名做服务。
5.修改/etc/crontab, 为自己创建定时任务，每天12点与0点开始执行。（所以你会发现第二天又启动了）

解释:

/etc/resolv.conf:DNS客户机配置文件，用于设置DNS服务器的IP地址及DNS域名，还包含了主机的域名搜索顺序。

resolv.conf的关键字主要有四个，分别是：

nameserver    //定义DNS服务器的IP地址

domain       //定义本地域名

search        //定义域名的搜索列表

sortlist        //对返回的域名进行排序

也给了解决办法

1.修改定时任务文件vi  /etc/crontab将其定时任务删除

2.删除文件.脚本如下:

rm -rf /bin/wipefs
rm -rf /etc/init.d/wipefs
chattr -i /bin/ddus-uidgen
rm -rf /bin/ddus-uidgen
chattr -i /etc/init.d/acpidtd
rm -rf /etc/init.d/acpidtd
rm -rf /etc/rc0.d/S01wipefs
rm -rf /etc/rc1.d/S01wipefs
rm -rf /etc/rc2.d/S01wipefs
rm -rf /etc/rc3.d/S01wipefs
rm -rf /etc/rc4.d/S01wipefs
rm -rf /etc/rc5.d/S01wipefs
rm -rf /etc/rc6.d/S01wipefs
rm -rf /etc/rc.d/rc0.d/S01wipefs
rm -rf /etc/rc.d/rc1.d/S01wipefs
rm -rf /etc/rc.d/rc2.d/S01wipefs
rm -rf /etc/rc.d/rc3.d/S01wipefs
rm -rf /etc/rc.d/rc4.d/S01wipefs
rm -rf /etc/rc.d/rc5.d/S01wipefs
rm -rf /etc/rc.d/rc6.d/S01wipefs
rm -rf /etc/rc0.d/acpidtd
rm -rf /etc/rc1.d/acpidtd
rm -rf /etc/rc2.d/acpidtd
rm -rf /etc/rc3.d/acpidtd
rm -rf /etc/rc4.d/acpidtd
rm -rf /etc/rc5.d/acpidtd
rm -rf /etc/rc6.d/acpidtd
rm -rf /etc/rc.d/rc0.d/acpidtd
rm -rf /etc/rc.d/rc1.d/acpidtd
rm -rf /etc/rc.d/rc2.d/acpidtd
rm -rf /etc/rc.d/rc3.d/acpidtd
rm -rf /etc/rc.d/rc4.d/acpidtd
rm -rf /etc/rc.d/rc5.d/acpidtd
rm -rf /etc/rc.d/rc6.d/acpidtd

3.检查机器漏洞，ssh权限，防火墙等，避免机器再次被攻击

3.结果

2017-1-10.经过一个星期的观察和修改，我发现这些手段的措施解决不了我现在的问题，我重新换了台全新的ECS，java版本1.8.0_152，tomcat版本7.0.68，一样会出现mydata.war，而且会收到一个香港IP的攻击，所以我把tomcat换成8.5.24。新奇的现象出现了，居然没出现那个后门war，又观察了2天，说明还是低版本的tomcat的漏洞问题。赶紧升级吧。
当然升级tomcat有些问题，可看
Tomcat8及之后版本出现的The valid characters are defined in RFC 7230 and RFC 3986

补充资料

1.root用户删除文件提示：Operation not permitted

一些文件看上去可能一切正常，但当您尝试删除的时候，居然也会报错

lsattr acpidtd

结果如下:

---i-----e----- ./acpidtd

这个文件带有"i"属性才不能删除.例如

chattr -i acpidtd

命令去掉i属性,然后使用rm -rf命令即可删除

2.Crontab命令

资料可参考https://www.cnblogs.com/maybo/p/5183753.html

需要关注3个文件:

/etc/crontab、/etc/cron.d/、/var/spool/cron

语法是一样的

所以有个比较笨的办法，增加一个定时任务，定时删除出现的war。如下

crontab -e

出现的vi编辑界面增加如下，每间隔一小时执行一次脚本：

* */1 * * * /home/rmMydata/rmMydata.sh

在/home/rmMydata目录下创建rmMydata.sh脚本，没有的目录自行创建

/bin/find /usr/local -name *mydata*|xargs rm -rf

即可定时执行删除脚本任务

总结:虽然做了这些工作,但还不确定是不是它在定时下载mydata.war,需要观察几天,这是和它做长期斗争的准备