上周,我想部署一个分布式文件系统。我在阿里云申请了一台机器,部署了docker并安装了Simpledfs。主机刚配置不到两天,发现机器的cpu使用率大幅度上升,控制台发出了各种警告。登录前看top,看系统情况,发现这个bash脚本几乎占有所有的cup,预计会变黑。我赶紧去看下Linux服务器的历史操作,在history的命令下看历史操作,发现内容被清空,日志文件也被清空,docker服务也被关闭了。经过调查,该机开放了ssh服务22端口、当地smtp25端口、sshd守护程序222端口和docker服务端口。对外暴露了ssh,首先想到的是看ssh的版本。检查该版本中可能被攻击者使用的漏洞,检查可能被使用的OpenSSH安全认证绕过漏洞(CVE-2018-15013)、SSH登录认证绕过漏洞(cve-2018-10933)等漏洞的利用方法.
攻击者有可能利用docker的漏洞溢出容器,此时,我觉得dockerrreomoteAPI不允许访问漏洞,攻击者可以利用dockerAPI2375端口,通过接口执行容器命令。然后将/root/.ssh目录挂载到容器中,然后填写ssh钥匙,修改权限为600,然后用户可以登录。
1.攻击者创建了一个新的账户查看/etc/passwd文件发现新用户tech,创建时间为22:13 tech:x:1000:1000:::/home/tech:/bin/bash。
2.攻击者将tech用户添加到wheel组,修改/etc/sudoers文件。(该文件的权限曾被篡改,首先应该追加写作权限,篡改完成后返回440权限,wheel集团的用户在使用sudo到root时不需要输入密码。中所述情节,对概念设计中的量体体积进行分析.
3、随后攻击者下载工具集busybox,被阿里云检测出来。
4.攻击者将根目录改为指定目录chroot/mnt/bin/sh-ccd/opt/写入z.sh,其中包括ip地址。威胁信息如下:在系统的opt目录下,z.sh5、攻击者试图写入后门程序,进行权限维持/usr/sbin/stable,但蚂蚁云盾拦截了后门程序。从6、22点14分到22点47分,攻击者kill掉了阿里云的云盾防护,下载了挖矿程序。这个过程是阿里云云盾,日志被清扫了。没有得到更多的信息。
5、然后攻击者下载挖矿程序安装。xmrig和config.json文件出现在/root/.ssh中,时间为22:49。西mirg是比特币挖矿软件,可以通过匹配的挖矿池内容修改相应的config.json文件。