/var/log
被清空,导致 nginx 无法启动。进一步排查发现 history
和 last
被清空。被安装了 python3 ,npm
添加了两个 cron 任务
@reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown
bash
和 server
怎么看这个文件执行了什么?
1
zhongjun96 OP |
2
aloxaf 173 天前 1
好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
瞅瞅 /var/log/log 是啥? |
3
dream10201 173 天前 1
/var/log 目录下应该还有一个 log 执行文件,这个才是主要
|
4
vituralfuture 173 天前 1
大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构
使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序 简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序 使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑 这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history |
5
zhongjun96 OP https://github.com/zhongjun96/zhongjun96/blob/main/log
@aloxaf @dream10201 @vituralfuture log 文件已经上传,各位大佬帮忙看看? |
6
zhongjun96 OP |
7
g5tf87 172 天前 1
log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig
|
8
zhongjun96 OP |
9
HiroLee 172 天前
sshu 文件 如何分析?
|
10
HiroLee 172 天前
如何获取的 sshu 文件
|
11
retanoj 172 天前 1
log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件
你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表? |
12
LoeNet 172 天前
strace -p $pid 可以不?
|
13
zhongjun96 OP |
14
badboy200600 172 天前
如何才能看有没有被注入挖矿?
|
15
1423 172 天前
ssh 版本?难道是最新的漏洞?
|
16
LieEar 172 天前
openssh 有漏洞了,是不是和这个有关?
|
17
dode 172 天前
备份数据,格式化重新安装,分析漏洞原因
|
18
fulajickhz 172 天前
关注 希望能找到被入侵的漏洞
|
19
guisheng 172 天前 via iPhone
安装了哪些软件或者服务 方便说下么
|
20
wentx 172 天前
|
21
zhongjun96 OP @1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
|
22
zhongjun96 OP @badboy200600 #14 我是通过 lsof -i 看连接看到的
|
23
zed1018 172 天前
@zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10
|
24
Remember 172 天前
不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。
|
25
zhongjun96 OP @wentx #20 不确定和这个是否有关,几台物理机机器同时中招。
|
27
retanoj 172 天前
|
28
imlonghao 172 天前 via iPhone
对外开放的端口列表发一下
|
29
iminto 172 天前 via Android
楼主偏激了,揪着 openssh 不放。
关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。 比如 PHP 漏洞,比如 tomcat 漏洞。。。 |
30
m1nm13 172 天前
一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口
|
31
tuiL2 172 天前
看看你的其他服务的日志,有没有执行什么奇怪的请求
|
32
r3a1ex0n0 172 天前 1
不是 CVE-2024-6387
|
33
zhongjun96 OP @iminto #29 不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx
|
34
zhongjun96 OP @imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。
|
35
zhongjun96 OP @imlonghao #28 一共只开放了 22 和 80,443 。
80,443 都是 nginx 直接转发到 k3s 服务的。 |
36
MoeMoesakura 172 天前
k3s cve?
|
37
retanoj 172 天前
查一下 22 端口的 SSH 是不是 root 用户弱口令?
查一下 k3s 集群是否开放了 anonymous 匿名访问? 查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限? |
38
zhongjun96 OP |
39
retanoj 172 天前
@zhongjun96 #38
那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥? 这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录? 以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口? |
41
ekucn 171 天前 via iPhone
@julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。
|
43
Paulownia 167 天前
楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈
|