当前位置: 开发笔记 > 编程语言 > 正文

记录一次ali云线上环境jenkins被攻击挖矿的处理过程

作者：手机用户2502910855 | 来源：互联网 | 2023-07-12 19:33

周六告警一个接一个，感觉极不寻常netstat-anpd执行结果如下久违的中毒感觉，查看一下各用户下的crontabcatetcpasswd|cut-f1-d:|xargs-I{}

周六告警一个接一个，感觉极不寻常

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

netstat -anpd执行结果如下

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

久违的中毒感觉，查看一下各用户下的crontab

cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

嗯，这个pastebin很眼熟，又是那个病毒

再来用这个命令查询一下恶意进程

perf top -s pid,comm,dso,symbol

可以发现很多的ksoftirqds进程

联系研发，让他们检查jenkins里面的问题脚本

不久之后研发发来这样一个截图，表示这段代码不是他们写的

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

确认完毕，开始为进一步处理做一些准备工作

cd/bin/

wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox

chmod 755 busybox

这个病毒会伪装成trace，通过find命令，在jenkins下面找到了这个trace文件

/var/lib/jenkins/jobs/Jenkins-Update/workspace/trace

去掉该文件的x权限（但实际上这样操作了也没什么卵用）

开始最后的大招之前，联系研发，让他们干掉jenkins里面被植入的脚本，然后备份一些需要的crontab任务，准备上脚本干了

（感谢默安科技提供的脚本）

vim rm_DGG.sh

#!/bin/bash

# 处理2019-2-23XXXX服务器DDG病毒的脚本

#LANG=zh_CN.UTF-8

# 关闭crontab

service crond stop

systemctl stop crond

# 写hosts, 屏蔽病毒脚本下载

busybox echo -e &＃8220;\n0.0.0.0 pastebin.com\n0.0.0.0 thyrsi.com&＃8221; >> /etc/hosts

# 删除，创建，并锁定 crontab相关文件

busybox rm /var/spool/cron/root && busybox touch /var/spool/cron/root && busybox chattr +i /var/spool/cron/root

busybox rm /var/spool/cron/crontabs/root && busybox touch /var/spool/cron/crontabs/root && busybox chattr +i /var/spool/cron/crontabs/root

busybox rm /etc/cron.d/root && busybox touch /etc/cron.d/root && busybox chattr +i /etc/cron.d/root

# 删除cron.d目录的其他文件

busybox rm /etc/cron.d/*

# 删除病毒相关执行文件和启动脚

busybox find / -type f -name &＃8216;*watchdogs*&＃8217;|busybox xargs rm -f

# 删除病毒进程

busybox pkill watchdogs

busybox pkill ksoftirqds

# 删除被preload的so库

chattr -i /etc/ld.so.preload

chattr -i /usr/local/lib/libioset.so

busybox rm -f /usr/local/lib/libioset.so

busybox rm -f /etc/ld.so.preload

busybox rm -f /etc/ld.so.cache

# 验证libioset.so被卸载

# lsof |grep /usr/local/lib/libioset.so

# 无输出, 则该动态链接库被卸载, 直接执行验证步骤; 有输出, kill掉占用的进程, 重复执行该步骤;

# 再次清理异常进程

busybox ps -ef | busybox grep -v grep | busybox egrep &＃8216;ksoftirqds&＃8217; | busybox awk &＃8216;{print $1}&＃8217; | busybox xargs kill -9

busybox ps -ef | busybox grep -v grep | busybox egrep &＃8216;watchdogs&＃8217; | busybox awk &＃8216;{print $1}&＃8217; | busybox xargs kill -9

# 删除相关恶意文件

busybox rm -f /tmp/watchdogs

busybox rm -f /etc/cron.d/tomcat

busybox rm -f /etc/cron.d/root

busybox rm -f /var/spool/cron/root

busybox rm -f /var/spool/cron/crontabs/root

busybox rm -f /usr/sbin/watchdogs

busybox rm -f /run/systemd/generator.late/watchdogs.service

busybox rm -f /etc/rc.d/init.d/watchdogs

busybox rm -f /etc/rc.d/init.d/watchdogs-bak

ldconfig

# 清理开机启动项

chkconfig watchdogs off

chkconfig &＃8211;del watchdogs

service crond start

echo &＃8220;Done, Please reboot!&＃8221;

此外，这个病毒的作者为了让自己的木马能独占矿机，还写了一些清除别的木马的语句

ps auxf | grep -v grep | grep hwlh3wlh44lh | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep Circle_MI | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep get.bi-chi.com | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep hashvault.pro | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep nanopool.org | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep /usr/bin/.sshd | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf|grep -v grep|grep &＃8220;xmr&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;xig&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;ddgs&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;qW3xT&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;wnTKYg&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;t00ls.ru&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;sustes&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;thisxxs&＃8221; | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf|grep -v grep|grep &＃8220;hashfish&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;kworkerds&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

参考文档

https://www.tuicool.com/articles/U3UBjeN （此次处理的主要参考对象）

https://www.jianshu.com/p/1497ddd4410c

后续操作

1.之前在切换jenkins的时候，意外发现了之前一次登陆，ip来自南韩；试了一下仍然能ping通该IP，且该IP与业务无关；在防火墙中禁用该IP段

2.redis统统加上密码

后续之后续

ksoftirqds和watchdogs干掉之后至今没有再发现，由于jenkins的漏洞问题，该服务器再次被攻击

在jenkins上可以找到一个update的任务（病毒本体），会在下面的路径下持续给trace脚本添加x权限，在进程里面也可以发现这个trace，杀掉后会自动启动

/var/lib/jenkins/jobs/Jenkins-Update/workspace/trace

在jenkins上将该脚本设置为禁用后问题得以解决

OS层面需要采取的措施

1.确保远程root登录处于关闭状态

2.echo &＃8220;root&＃8221; >> /etc/cron.allow

3.修改root账户密码

推荐阅读

select
请看|间隔时间_Postgresql 主从复制

请看|间隔时间_Postgresql 主从复制 ... [详细]

蜡笔小新 2024-12-19 03:24:54
ip
CentOS 7.6环境下Prometheus与Grafana的集成部署指南

本文旨在提供一套详细的步骤，指导读者如何在CentOS 7.6操作系统上成功安装和配置Prometheus 2.17.1及Grafana 6.7.2-1，实现高效的数据监控与可视化。 ... [详细]

蜡笔小新 2024-12-20 10:05:02
ip
并发编程 12—— 任务取消与关闭之 shutdownNow 的局限性

Java并发编程实践目录并发编程01——ThreadLocal并发编程02——ConcurrentHashMap并发编程03——阻塞队列和生产者-消费者模式并发编程04——闭锁Co ... [详细]

蜡笔小新 2024-12-21 12:39:07
uri
解决Classic ASP与PHP HMAC_SHA256哈希结果不一致的问题

本文探讨了如何在Classic ASP中实现与PHP的hash_hmac('SHA256', $message, pack('H*', $secret))函数等效的哈希生成方法。通过分析不同实现方式及其产生的差异，提供了一种使用Microsoft .NET Framework的解决方案。 ... [详细]

蜡笔小新 2024-12-21 10:38:09
ip
Linux下NFS客户端配置详解

NFS（Network File System）即网络文件系统，是一种分布式文件系统协议，主要用于Unix和类Unix系统之间的文件共享。本文详细介绍NFS的配置文件/etc/exports和相关服务配置，帮助读者理解如何在Linux环境中配置NFS客户端。 ... [详细]

蜡笔小新 2024-12-18 18:23:35
ip
使用LVS与ldirectord实现高可用负载均衡

本文介绍了如何通过LVS（Linux Virtual Server）结合ldirectord工具来实现服务器的健康检查及负载均衡功能。环境设置包括一个LVS节点和两个真实服务器节点，通过配置ldirectord进行健康状态监测，确保系统的高可用性。 ... [详细]

蜡笔小新 2024-12-17 17:30:12
string
实现Android中的时间轴效果

本文介绍了在Android项目中实现时间轴效果的方法，通过自定义ListView的Item布局和适配器逻辑，实现了动态显示和隐藏时间标签的功能。文中详细描述了布局文件、适配器代码以及时间格式化工具类的具体实现。 ... [详细]

蜡笔小新 2024-12-17 12:34:41
install
在Fedora 31上部署PostgreSQL 12

本文详细介绍如何在Fedora 31操作系统上安装和配置PostgreSQL 12数据库。包括环境准备、安装步骤、配置优化以及安全设置，确保数据库能够稳定运行并提供高效的性能。 ... [详细]

蜡笔小新 2024-12-21 15:37:13
select
深入解析ESFramework中的AgileTcp组件

本文详细介绍了ESFramework框架中AgileTcp组件的设计与实现。AgileTcp是ESFramework提供的ITcp接口的高效实现，旨在优化TCP通信的性能和结构清晰度。 ... [详细]

蜡笔小新 2024-12-21 13:56:06
select
深入解析RDMA中的队列对（Queue Pair）

本文将详细探讨RDMA架构中的关键组件——队列对（Queue Pair，简称QP），包括其基本概念、硬件与软件实现、QPC的作用、QPN的分配机制以及用户接口和状态机。通过这些内容，读者可以更全面地理解QP在RDMA通信中的重要性和工作原理。 ... [详细]

蜡笔小新 2024-12-21 11:16:36
uri
无屏幕环境下树莓派4B的安装与配置指南

本文将详细介绍如何在没有显示器的情况下，使用Raspberry Pi Imager为树莓派4B安装操作系统，并进行基本配置，包括设置SSH、WiFi连接以及更新软件源。 ... [详细]

蜡笔小新 2024-12-21 08:14:50
string
Python3 中使用 lxml 模块解析 XPath 数据详解

XPath 是一种用于在 XML 文档中查找信息的路径语言，同样适用于 HTML 文件的搜索。本文将详细介绍如何利用 Python 的 lxml 模块通过 XPath 技术高效地解析和抓取网页数据。 ... [详细]

蜡笔小新 2024-12-20 11:23:22
select
交互式左右滑动导航菜单设计

本文介绍了一种使用HTML和JavaScript实现的左右可点击滑动导航菜单的方法，适用于需要展示多个链接或项目的网页布局。 ... [详细]

蜡笔小新 2024-12-18 17:56:15
ip
利用SSH隧道实现外网对局域网机器的安全访问

本文探讨了一种常见的网络配置问题及其解决方案，即如何在外网环境下安全地访问位于局域网内的计算机。特别介绍了使用SSH反向隧道技术来实现这一目标的具体步骤和注意事项。 ... [详细]

蜡笔小新 2024-12-18 09:02:41
install
在Linux系统上构建Web服务器的详细步骤

本文详细介绍了如何在Linux系统上搭建Web服务器的过程，包括安装Apache、PHP和MySQL等关键组件，以及遇到的一些常见问题及其解决方案。 ... [详细]

蜡笔小新 2024-12-17 19:02:43

手机用户2502910855

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章