当前位置: 开发笔记 > 编程语言 > 正文

记录一次ali云线上环境jenkins被攻击挖矿的处理过程

作者：手机用户2502910855 | 来源：互联网 | 2023-07-12 19:33

周六告警一个接一个，感觉极不寻常netstat-anpd执行结果如下久违的中毒感觉，查看一下各用户下的crontabcatetcpasswd|cut-f1-d:|xargs-I{}

周六告警一个接一个，感觉极不寻常

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

netstat -anpd执行结果如下

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

久违的中毒感觉，查看一下各用户下的crontab

cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

嗯，这个pastebin很眼熟，又是那个病毒

再来用这个命令查询一下恶意进程

perf top -s pid,comm,dso,symbol

可以发现很多的ksoftirqds进程

联系研发，让他们检查jenkins里面的问题脚本

不久之后研发发来这样一个截图，表示这段代码不是他们写的

《记录一次ali云线上环境jenkins被攻击挖矿的处理过程》

确认完毕，开始为进一步处理做一些准备工作

cd/bin/

wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox

chmod 755 busybox

这个病毒会伪装成trace，通过find命令，在jenkins下面找到了这个trace文件

/var/lib/jenkins/jobs/Jenkins-Update/workspace/trace

去掉该文件的x权限（但实际上这样操作了也没什么卵用）

开始最后的大招之前，联系研发，让他们干掉jenkins里面被植入的脚本，然后备份一些需要的crontab任务，准备上脚本干了

（感谢默安科技提供的脚本）

vim rm_DGG.sh

#!/bin/bash

# 处理2019-2-23XXXX服务器DDG病毒的脚本

#LANG=zh_CN.UTF-8

# 关闭crontab

service crond stop

systemctl stop crond

# 写hosts, 屏蔽病毒脚本下载

busybox echo -e &＃8220;\n0.0.0.0 pastebin.com\n0.0.0.0 thyrsi.com&＃8221; >> /etc/hosts

# 删除，创建，并锁定 crontab相关文件

busybox rm /var/spool/cron/root && busybox touch /var/spool/cron/root && busybox chattr +i /var/spool/cron/root

busybox rm /var/spool/cron/crontabs/root && busybox touch /var/spool/cron/crontabs/root && busybox chattr +i /var/spool/cron/crontabs/root

busybox rm /etc/cron.d/root && busybox touch /etc/cron.d/root && busybox chattr +i /etc/cron.d/root

# 删除cron.d目录的其他文件

busybox rm /etc/cron.d/*

# 删除病毒相关执行文件和启动脚

busybox find / -type f -name &＃8216;*watchdogs*&＃8217;|busybox xargs rm -f

# 删除病毒进程

busybox pkill watchdogs

busybox pkill ksoftirqds

# 删除被preload的so库

chattr -i /etc/ld.so.preload

chattr -i /usr/local/lib/libioset.so

busybox rm -f /usr/local/lib/libioset.so

busybox rm -f /etc/ld.so.preload

busybox rm -f /etc/ld.so.cache

# 验证libioset.so被卸载

# lsof |grep /usr/local/lib/libioset.so

# 无输出, 则该动态链接库被卸载, 直接执行验证步骤; 有输出, kill掉占用的进程, 重复执行该步骤;

# 再次清理异常进程

busybox ps -ef | busybox grep -v grep | busybox egrep &＃8216;ksoftirqds&＃8217; | busybox awk &＃8216;{print $1}&＃8217; | busybox xargs kill -9

busybox ps -ef | busybox grep -v grep | busybox egrep &＃8216;watchdogs&＃8217; | busybox awk &＃8216;{print $1}&＃8217; | busybox xargs kill -9

# 删除相关恶意文件

busybox rm -f /tmp/watchdogs

busybox rm -f /etc/cron.d/tomcat

busybox rm -f /etc/cron.d/root

busybox rm -f /var/spool/cron/root

busybox rm -f /var/spool/cron/crontabs/root

busybox rm -f /usr/sbin/watchdogs

busybox rm -f /run/systemd/generator.late/watchdogs.service

busybox rm -f /etc/rc.d/init.d/watchdogs

busybox rm -f /etc/rc.d/init.d/watchdogs-bak

ldconfig

# 清理开机启动项

chkconfig watchdogs off

chkconfig &＃8211;del watchdogs

service crond start

echo &＃8220;Done, Please reboot!&＃8221;

此外，这个病毒的作者为了让自己的木马能独占矿机，还写了一些清除别的木马的语句

ps auxf | grep -v grep | grep hwlh3wlh44lh | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep Circle_MI | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep get.bi-chi.com | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep hashvault.pro | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep nanopool.org | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep /usr/bin/.sshd | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf|grep -v grep|grep &＃8220;xmr&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;xig&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;ddgs&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;qW3xT&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;wnTKYg&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;t00ls.ru&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;sustes&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;thisxxs&＃8221; | awk &＃8216;{print $2}&＃8217; | xargs kill -9

ps auxf|grep -v grep|grep &＃8220;hashfish&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

ps auxf|grep -v grep|grep &＃8220;kworkerds&＃8221; | awk &＃8216;{print $2}&＃8217;|xargs kill -9

参考文档

https://www.tuicool.com/articles/U3UBjeN （此次处理的主要参考对象）

https://www.jianshu.com/p/1497ddd4410c

后续操作

1.之前在切换jenkins的时候，意外发现了之前一次登陆，ip来自南韩；试了一下仍然能ping通该IP，且该IP与业务无关；在防火墙中禁用该IP段

2.redis统统加上密码

后续之后续

ksoftirqds和watchdogs干掉之后至今没有再发现，由于jenkins的漏洞问题，该服务器再次被攻击

在jenkins上可以找到一个update的任务（病毒本体），会在下面的路径下持续给trace脚本添加x权限，在进程里面也可以发现这个trace，杀掉后会自动启动

/var/lib/jenkins/jobs/Jenkins-Update/workspace/trace

在jenkins上将该脚本设置为禁用后问题得以解决

OS层面需要采取的措施

1.确保远程root登录处于关闭状态

2.echo &＃8220;root&＃8221; >> /etc/cron.allow

3.修改root账户密码

推荐阅读

ip
Mac平台下的MySQL安装与配置指南

本文详细介绍了在Mac平台上安装和配置MySQL的步骤，包括下载安装包、卸载MySQL以及解决命令行中找不到mysql命令的问题。 ... [详细]

蜡笔小新 2024-11-17 18:44:08
client
CentOS 7 中配置开机自动挂载 NFS 的解决方案

本文详细介绍了在 CentOS 7 系统中配置 fstab 文件以实现开机自动挂载 NFS 共享目录的方法，并解决了常见的配置失败问题。 ... [详细]

蜡笔小新 2024-11-13 12:05:24
client
使用Shell脚本高效部署MHA高可用集群

本文介绍了如何利用Shell脚本高效地部署MHA（MySQL High Availability）高可用集群。通过详细的脚本编写和配置示例，展示了自动化部署过程中的关键步骤和注意事项。该方法不仅简化了集群的部署流程，还提高了系统的稳定性和可用性。 ... [详细]

蜡笔小新 2024-11-10 10:15:46
ip
.net core docker+ gogs + jenkins 自动化部署

一.安装gogs1.拉取gogs镜像dockerpullgogsgogs2.运行gogs容器dockerrun-di--namegogs-p10022:22-p3000:3000- ... [详细]

蜡笔小新 2024-10-09 20:41:46
char
FluxCD、ArgoCD或Jenkins X，哪个才是适合你的GitOps工具？

GitOps是一种使用基于Git的工作流程来全面管理应用和基础设施的想法，其在最近获得了极大关注。新一代的部署工具更能说明这一点，它们将GitOps作为 ... [详细]

蜡笔小新 2024-09-29 19:04:37
post
crontab使用进程锁解决冲突

想到一个问题，如果在crontab里有个定时任务设置为一分钟执行一次，但是它执行的时间可能会超过一分钟，此时crontab一分钟后会再次运行该脚本吗？这样会不会出现冲突呢？网上找了下，说可以用Linu ... [详细]

蜡笔小新 2023-09-13 15:41:43
post
crontab和anacron和logrotate的关系详解

服务器上的nginx使用logrotate来分割日志，设置为每天分割。但是logrotate似乎没有工作，日志并没有分割。服务器是CentOS6。为了找到原因 ... [详细]

蜡笔小新 2023-09-01 11:43:43
post
2-8·crontab计划任务管理

一·计划任务1）at1.确定at安装chkconfig–list|grepatd启动at服务：serviceatdrestart2.访问控制如果系统中有etc ... [详细]

蜡笔小新 2023-08-22 19:26:35
ip
Linux 定时任务 Crontab命令详解

前言crontab是Unix和Linux用于设置周期性被执行的指令，是互联网很常用的技术，很多任务都会设置在crontab循环执行，如果不使用crontab，那么任务就是常驻程序，这对你的程序要求比较 ... [详细]

蜡笔小新 2023-08-10 17:33:27
ip
Linux下怎么使用crontab命令

本篇内容主要讲解“Linux下怎么使用crontab命令”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“Li ... [详细]

蜡笔小新 2023-07-28 15:57:19
ip
linux下系统定时任务配置----crontab（mysql定时备份）

　　crontab命令用于设置周期性被执行的指令,与windows下的计划任务类似，当安装完成操作系统后，默认会安装此服务工具，并且会自动启动crond进程，crond进程每分钟会定期检查是否有要执 ... [详细]

蜡笔小新 2023-07-24 09:31:02
char
不同的编程语言是如何读写数据的

每种编程语言都有其独特的完成任务的方式，这也说明了为什么有这么多语言可供选择。在JimHall的《不同的编程语言如何完成相同的事情》文章中，他演示了13种不同的语言如何使用不同的语 ... [详细]

蜡笔小新 2024-11-20 11:24:13
input
集中化管理crontab

#!binbash########################################################################## File Name : rsync_nobody.sh# ... [详细]

蜡笔小新 2023-08-26 10:20:01
input
Linux crontab 计划任务

用.sh文件来完成任务，但现在有个项目直接用url就行。一般系统不会有crontabShell#安装crontab：yuminstallcronta ... [详细]

蜡笔小新 2023-08-20 17:23:17
post
crontab定期执行shell脚本

【场景】：需要定期运行Hadoop的MapReduce【解决办法】：编写一个运行MapReduce的Shell脚本。然后使用crontab配置定时任务。【Shell脚本】 ... [详细]

蜡笔小新 2023-08-13 20:12:39

手机用户2502910855

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章