/var/log 被清空,导致 nginx 无法启动。进一步排查发现 history和 last 被清空。被安装了 python3 ,npm
添加了两个 cron 任务
@reboot /usr/bin/sshu > /dev/null 2>&1 & disown @monthly /usr/bin/sshu > /dev/null 2>&1 & disown bash 和 server怎么看这个文件执行了什么?
 | 1 qjbcnrs OP 一部分 dpkg 日志  |
 | 2 aloxaf Jul 2, 2024  1 好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 & 瞅瞅 /var/log/log 是啥? |
 | 3 dream10201 Jul 2, 2024 1 /var/log 目录下应该还有一个 log 执行文件,这个才是主要 |
 | 4 vituralfuture Jul 2, 2024 1 大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构 使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序  简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序 使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑 这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history |
| 5 qjbcnrs OP https://github.com/zhongjun96/zhongjun96/blob/main/log @aloxaf @dream10201 @vituralfuture log 文件已经上传,各位大佬帮忙看看? |
| 6 qjbcnrs OP 火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?  |
 | 7 g5tf87 Jul 2, 2024 1 log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig |
 | 9 HiroLee Jul 2, 2024 sshu 文件 如何分析? |
| 10 HiroLee Jul 2, 2024 如何获取的 sshu 文件 |
 | 11 retanoj Jul 2, 2024 1 log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件 你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表? |
 | 12 LoeNet Jul 2, 2024 strace -p $pid 可以不? |
 | 14 badboy200600 Jul 2, 2024 如何才能看有没有被注入挖矿? |
 | 15 slowman Jul 2, 2024 ssh 版本?难道是最新的漏洞? |
 | 16 LieEar Jul 2, 2024 openssh 有漏洞了,是不是和这个有关? |
 | 17 dode Jul 2, 2024 备份数据,格式化重新安装,分析漏洞原因 |
 | 18 mU9vX912XopmAoE1 Jul 2, 2024 关注 希望能找到被入侵的漏洞 |
 | 19 guisheng Jul 2, 2024 via iPhone 安装了哪些软件或者服务 方便说下么 |
 | 20 wentx Jul 2, 2024 |
| 22 qjbcnrs OP @badboy200600 #14 我是通过 lsof -i 看连接看到的 |
 | 23 zed1018 Jul 2, 2024 @zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10 |
 | 24 Remember Jul 2, 2024 不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。 |
| 27 retanoj Jul 2, 2024 |
 | 28 imlonghao Jul 2, 2024 via iPhone 对外开放的端口列表发一下 |
 | 29 iminto Jul 2, 2024 via Android 楼主偏激了,揪着 openssh 不放。 关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。 比如 PHP 漏洞,比如 tomcat 漏洞。。。 |
 | 30 m1nm13 Jul 2, 2024 一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口 |
 | 31 tuiL2 Jul 2, 2024 看看你的其他服务的日志,有没有执行什么奇怪的请求 |
 | 32 r3a1ex0n0 Jul 3, 2024 1 不是 CVE-2024-6387 |
 | 36 MoeMoesakura Jul 3, 2024 k3s cve? |
| 37 retanoj Jul 3, 2024 查一下 22 端口的 SSH 是不是 root 用户弱口令? 查一下 k3s 集群是否开放了 anonymous 匿名访问? 查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限? |
| 38 qjbcnrs OP |
| 39 retanoj Jul 3, 2024 @zhongjun96 #38 那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥? 这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录? 以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口? |
 | 41 ekucn Jul 4, 2024 via iPhone @julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。 |
 | 43 Paulownia Jul 7, 2024 楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈 |
Select Language