阿里云centos环境之被木马攻击的一次记录<持续观察中>
2018-01-05 11:13
991 查看
阿里云centos环境之被木马攻击的一次记录<完结>
1.背景
阿里云上ECS服务器上每天23点在tomcat/webapps都会自动下载下mydata.war,可以确定的是mydata.war是个木马,虽然删除但还是会定时下载2.定时任务
首先想到的是定时任务命令crontab,crontab命令的功能是在一定的时间间隔调度一些命令的执行查看文件/etc/crontab
vi /etc/crontab
解释:
星号(*)表示所有可用的值 符号“/”指定步进设置,如0-59/2定义每两分钟执行一次。步进值也可用星号表示。如*/3用来运行每三个月份运行指定任务。 指定数值由逗号分开。如:3,4,6,8表示这四个指定整数。
果然有个定时任务,而且每天间隔6小时就会启动一次.wipefs是什么鬼?
wipefs是linux自带的程序,用来擦除文件系统数据。正常的wipefs,路径在/usr/bin/wipefs,如果你没有做设置,不会自启动,也不会大量占用cpu。你可以看一下是否是 /bin/wipefs 进程,如果是,应该是你的机器被黑了,这是别人在你机器上放了挖矿程序。 此程序会: 1.进行挖矿计算,大量占用cpu。 2.复制自己到/bin/wipefs,创建服务/etc/init.d/wipefs,在 /etc/rc*.d 和 /etc/rc.d/rc*.d 中创建链接以实现开机启动。 3.释放子程序到 /bin/ddus-uidgen,创建服务/etc/init.d/acpidtd,并在 /etc/rc*.d 和 /etc/rc.d/rc*.d 中创建链接以实现开机启动。 4.修改/etc/resolv.conf, 可能是为其连接矿机服务的域名做服务。 5.修改/etc/crontab, 为自己创建定时任务,每天12点与0点开始执行。(所以你会发现第二天又启动了)
解释:
/etc/resolv.conf:DNS客户机配置文件,用于设置DNS服务器的IP地址及DNS域名,还包含了主机的域名搜索顺序。
resolv.conf的关键字主要有四个,分别是:
nameserver //定义DNS服务器的IP地址
domain //定义本地域名
search //定义域名的搜索列表
sortlist //对返回的域名进行排序
也给了解决办法
1.修改定时任务文件vi /etc/crontab将其定时任务删除
2.删除文件.脚本如下:
rm -rf /bin/wipefs rm -rf /etc/init.d/wipefs chattr -i /bin/ddus-uidgen rm -rf /bin/ddus-uidgen chattr -i /etc/init.d/acpidtd rm -rf /etc/init.d/acpidtd rm -rf /etc/rc0.d/S01wipefs rm -rf /etc/rc1.d/S01wipefs rm -rf /etc/rc2.d/S01wipefs rm -rf /etc/rc3.d/S01wipefs rm -rf /etc/rc4.d/S01wipefs rm -rf /etc/rc5.d/S01wipefs rm -rf /etc/rc6.d/S01wipefs rm -rf /etc/rc.d/rc0.d/S01wipefs rm -rf /etc/rc.d/rc1.d/S01wipefs rm -rf /etc/rc.d/rc2.d/S01wipefs rm -rf /etc/rc.d/rc3.d/S01wipefs rm -rf /etc/rc.d/rc4.d/S01wipefs rm -rf /etc/rc.d/rc5.d/S01wipefs rm -rf /etc/rc.d/rc6.d/S01wipefs rm -rf /etc/rc0.d/acpidtd rm -rf /etc/rc1.d/acpidtd rm -rf /etc/rc2.d/acpidtd rm -rf /etc/rc3.d/acpidtd rm -rf /etc/rc4.d/acpidtd rm -rf /etc/rc5.d/acpidtd rm -rf /etc/rc6.d/acpidtd rm -rf /etc/rc.d/rc0.d/acpidtd rm -rf /etc/rc.d/rc1.d/acpidtd rm -rf /etc/rc.d/rc2.d/acpidtd rm -rf /etc/rc.d/rc3.d/acpidtd rm -rf /etc/rc.d/rc4.d/acpidtd rm -rf /etc/rc.d/rc5.d/acpidtd rm -rf /etc/rc.d/rc6.d/acpidtd
3.检查机器漏洞,ssh权限,防火墙等,避免机器再次被攻击
3.结果
2017-1-10.经过一个星期的观察和修改,我发现这些手段的措施解决不了我现在的问题,我重新换了台全新的ECS,java版本1.8.0_152,tomcat版本7.0.68,一样会出现mydata.war,而且会收到一个香港IP的攻击,所以我把tomcat换成8.5.24。新奇的现象出现了,居然没出现那个后门war,又观察了2天,说明还是低版本的tomcat的漏洞问题。赶紧升级吧。当然升级tomcat有些问题,可看
Tomcat8及之后版本出现的The valid characters are defined in RFC 7230 and RFC 3986
补充资料
1.root用户删除文件提示:Operation not permitted一些文件看上去可能一切正常,但当您尝试删除的时候,居然也会报错
lsattr acpidtd
结果如下:
---i-----e----- ./acpidtd
这个文件带有"i"属性才不能删除.例如
chattr -i acpidtd
命令去掉i属性,然后使用rm -rf命令即可删除
2.Crontab命令
资料可参考https://www.cnblogs.com/maybo/p/5183753.html
需要关注3个文件:
/etc/crontab、/etc/cron.d/、/var/spool/cron
语法是一样的
所以有个比较笨的办法,增加一个定时任务,定时删除出现的war。如下
crontab -e
出现的vi编辑界面增加如下,每间隔一小时执行一次脚本:
* */1 * * * /home/rmMydata/rmMydata.sh
在/home/rmMydata目录下创建rmMydata.sh脚本,没有的目录自行创建
/bin/find /usr/local -name *mydata*|xargs rm -rf
即可定时执行删除脚本任务
总结:虽然做了这些工作,但还不确定是不是它在定时下载mydata.war,需要观察几天,这是和它做长期斗争的准备
相关文章推荐
- 阿里云centos环境之被dos,syn攻击策略和排查方法,持续更新<九>
- 阿里云centos环境之java安装<一>
- 阿里云centos环境之mysql安装<二>
- 阿里云centos环境之修改ssh默认端口<八>
- 阿里云centos环境之tomcat配置<三>
- 阿里云centos环境之nginx实站配置<十二>
- 阿里云centos环境之maven安装<五>
- Centos搭建CI持续集成系统环境--部署gerrit环境完整记录
- <持续更新>ubuntu下开发环境常见问题解决
- 阿里云环境Centos下安装MySql遇到的问题记录.
- NC(netcat)应用全记录<持续更新>
- centos shell基础 alias 变量单引号 双引号 history 错误重定向 2>&1 jobs 环境变量 .bash_history source配置文件 nohup & 后台运行 cut,sort,wc ,uniq ,tee ,tr ,split, paste cat> 2.txt <<EOF 通配符 glob模式 发邮件命令mail 2015-4-8 第十二节课
- 每天的记录,慢慢来。<十二月> December ··········持续更新中
- 在CentOS环境下安装g++详细流程<有图>
- 记录一次阿里云redis被黑客植入挖矿木马
- 阿里云ECS Java运行环境(Centos7 64 | JDK8|Tomcat8)搭建网站过程记录
- cacti_nagios<at>centos(redhat)整合安装简要记录
- 记录一次CentOS环境升级Python2.6到Python2.7并安装最新版pip
- 在CentOS环境下安装g++详细流程&lt;有图&gt;