这是一个创建于 131 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。
进一步排查发现 history和 last 被清空。被安装了 python3 ,npm
添加了两个 cron 任务
@reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown
sshu 文件地址_Github
新增了两个用户 bash 和 server
怎么看这个文件执行了什么?
第 1 条附言 · 131 天前
目前已知是挖矿文件,不过还不知道是怎么中招的,开了 ssh 密钥登录。
https://imgur.com/IcUVjIJ
https://imgur.com/IcUVjIJ
第 2 条附言 · 131 天前
检查 frp 日志,最近 7 天,发现 60 万次尝试登录这台设备的日志。
可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
第 3 条附言 · 130 天前
[捂脸] 菜鸡不太了解服务器,让大家看笑话了。
不过机器上只有 k3s 和 nginx 。
nginx 是指向 k3s 的。没搞懂哪里中招了。
不过机器上只有 k3s 和 nginx 。
nginx 是指向 k3s 的。没搞懂哪里中招了。
第 4 条附言 · 130 天前
伪装成 system 服务
https://imgur.com/DGf8iVS
https://imgur.com/DGf8iVS
43 条回复 • 2024-07-07 17:14:01 +08:00
 |
1
zhongjun96 OP 一部分 dpkg 日志
 |
 |
2
aloxaf 131 天前  1
好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
瞅瞅 /var/log/log 是啥? |
 |
3
dream10201 131 天前 1
/var/log 目录下应该还有一个 log 执行文件,这个才是主要
|
 |
4
vituralfuture 131 天前 1
大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构
使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序  简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序 使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑 这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history |
|
5
zhongjun96 OP https://github.com/zhongjun96/zhongjun96/blob/main/log
@aloxaf @dream10201 @vituralfuture log 文件已经上传,各位大佬帮忙看看? |
|
6
zhongjun96 OP 火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?
 |
 |
7
g5tf87 131 天前 1
log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig
|
|
8
zhongjun96 OP |
 |
9
HiroLee 131 天前
sshu 文件 如何分析?
|
|
10
HiroLee 131 天前
如何获取的 sshu 文件
|
 |
11
retanoj 131 天前 1
log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件
你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表? |
 |
12
LoeNet 131 天前
strace -p $pid 可以不?
|
|
13
zhongjun96 OP |
 |
14
badboy200600 131 天前
如何才能看有没有被注入挖矿?
|
 |
15
1423 131 天前
ssh 版本?难道是最新的漏洞?
|
 |
16
LieEar 131 天前
openssh 有漏洞了,是不是和这个有关?
|
 |
17
dode 131 天前
备份数据,格式化重新安装,分析漏洞原因
|
 |
18
fulajickhz 131 天前
关注 希望能找到被入侵的漏洞
|
 |
19
guisheng 131 天前 via iPhone
安装了哪些软件或者服务 方便说下么
|
 |
20
wentx 131 天前
|
|
21
zhongjun96 OP @1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
|
|
22
zhongjun96 OP @badboy200600 #14 我是通过 lsof -i 看连接看到的
|
 |
23
zed1018 131 天前
@zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10
|
 |
24
Remember 131 天前
不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。
|
|
25
zhongjun96 OP @wentx #20 不确定和这个是否有关,几台物理机机器同时中招。
|
|
27
retanoj 131 天前
|
 |
28
imlonghao 131 天前 via iPhone
对外开放的端口列表发一下
|
 |
29
iminto 131 天前 via Android
楼主偏激了,揪着 openssh 不放。
关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。 比如 PHP 漏洞,比如 tomcat 漏洞。。。 |
 |
30
m1nm13 131 天前
一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口
|
 |
31
tuiL2 131 天前
看看你的其他服务的日志,有没有执行什么奇怪的请求
|
 |
32
r3a1ex0n0 130 天前 1
不是 CVE-2024-6387
|
|
33
zhongjun96 OP @iminto #29
 不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx |
|
34
zhongjun96 OP @imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。
|
|
35
zhongjun96 OP @imlonghao #28 一共只开放了 22 和 80,443 。
80,443 都是 nginx 直接转发到 k3s 服务的。 |
 |
36
MoeMoesakura 130 天前
k3s cve?
|
|
37
retanoj 130 天前
查一下 22 端口的 SSH 是不是 root 用户弱口令?
查一下 k3s 集群是否开放了 anonymous 匿名访问? 查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限? |
|
38
zhongjun96 OP |
|
39
retanoj 130 天前
@zhongjun96 #38
那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥? 这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录? 以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口? |
 |
41
ekucn 130 天前 via iPhone
@julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。
|
 |
43
Paulownia 126 天前
楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈
|
Select Language