阿里云被黑

3月19号手机收到大量阿里云报警短信，查看报警内容。

木马程序：zzhreceive.anondns.net/b2f628/b.sh

ps，pstree命令使用不了

进入/usr/bin 查看ps命令是否被修改

-rw-r–r– 1 root root 55 Aug 25 2016 ps
-rw-r–r– 1 root root 28504 Oct 1 01:20 pstree

果然修改了属性，马上添加回去

chmod +x ps
chmod +x pstree
chmod: changing permissions of ‘pstree’: Operation not permitted

pstree命令修改失败，使用lsattr查看

lsattr pstree
—-i——–e– pstree

果然加了i,去掉

chattr -i pstree

终于两个命令都执行成功了

查看root用户的.ssh/authorized_keys,防止二次入侵

cd/root/.ssh/
-rw——- 1 root root 399 Mar 19 22:08 authorized_keys //黑客添加
-rw——- 1 root root 399 Mar 19 22:08 authorized_keys2 //黑客添加
-rw——- 1 root root 1675 Mar 2 2019 id_rsa
-rw-r–r– 1 root root 398 Mar 2 2019 id_rsa.pub

执行删除

rm -rf authorized_keys
rm: cannot remove ‘authorized_keys’: Operation not permitted

root用户没权限，查看lsattr

lsattr authorized_keys
—–a———- authorized_keys

并没有加i,但是删除a属性后，就可以删除成功

chattr -a authorized_keys
rm -rf authorized_keys

查看定时任务

crontab -l //查看root用户的计划任务
no crontab for root

难道是添加了其他用户

cat /etc/passwd
hilde1000:/home/hilde:/bin/bash //多了一条

进入home目录查看添加的用户

cd cd /home/
drwx—— 6 csx csx 4096 Nov 29 2018 csx
drwxr-xr-x 3 root root 4096 Mar 19 22:08 hilde //果然新增了用户，还给了root权限，果断删除
drwx—— 2 mysql mysql 4096 Jul 14 2018 mysql

每个用户有一个以用户名命名的crontab文件，存放在/var/spool/cron/crontabs目录里。但是未发现定时任务。

cd /var/spool/cron
ls -a
. ..

根据阿里的报警信息,可疑文件路径: /var/spool/cron/temp-13987.rdb,也没找到这个文件。不管这么多，直接删除/var/spool/cron文件夹

查看定时任务日志,并没有数据

cd /var/log
ll |grep cron
-rw——- 1 root root 0 Mar 14 03:44 cron
-rw——- 1 root root 0 Feb 15 03:29 cron-20210221
-rw——- 1 root root 0 Feb 21 03:24 cron-20210301
-rw——- 1 root root 0 Mar 1 03:40 cron-20210307
-rw——- 1 root root 0 Mar 7 03:19 cron-20210314

开机启动项

centos7自启项已不用chkconfig改为： systemctl list-unit-files

systemctl list-unit-files |grep enable
AssistDaemon.service enabled
atd.service enabled
auditd.service enabled
autovt@.service enabled
cloud-config.service enabled
cloud-final.service enabled
cloud-init-local.service enabled
…

Linux给我们提供了7中不同的启动级别0~6，用户自定义开机程序(/etc/rc.d/rc.local)

cd /etc/rc.d
drwxr-xr-x. 2 root root 4096 Mar 22 11:50 init.d
drwxr-xr-x. 2 root root 4096 Mar 16 2020 rc0.d
drwxr-xr-x. 2 root root 4096 Mar 16 2020 rc1.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc2.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc3.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc4.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc5.d
drwxr-xr-x. 2 root root 4096 Mar 16 2020 rc6.d
-rw-r–r– 1 root root 536 Jul 14 2018 rc.local

如果确定入侵时间，可以查看当天修改的文件来排查

ll -rta //最近修改的文件，包括隐藏文件

找到下载木马程序的ip，阿里云安全组出方向禁掉，防止更新木马

文件属性lsattr, chattr

A：即Atime，告诉系统不要修改对这个文件的最后访问时间。
​
S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。
​
a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。
​
b：不更新文件或目录的最后存取时间。
​
c：将文件或目录压缩后存放。
​
d：当dump程序执行时，该文件或目录不会被dump备份。
​
D:检查压缩文件中的错误。
​
i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。
​
s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。
​
u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。
​
t:文件系统支持尾部合并（tail-merging）。
​
X：可以直接访问压缩文件的内容。
​

本作品采用《CC 协议》，转载必须注明作者和本文链接