急!!!直播服务器入侵检查,大佬进来指导一下

开发调优
1

收到AWS邮件,说我有一个nat网关扫描了阿里云。
看到邮件就感觉不对,nat 网关不会扫描的,应该是走nat网关的主机出了问题。
登录AWS后发现,使用这个nat的只有一台机器。
好了,直接登录(jms堡垒机跳转)主机
发现了一个异常进程

image
image727×245 20.4 KB

很明显,一眼就瞅到了这个玩意!

71 个赞
2

先看这个进程怎么启动的

image
image755×229 24.1 KB

看到后面发现这玩意到了systemd托管

4 个赞
3

补充一点: 这台机器属于私有内网。外网是无法访问的,只能通过内网跳转过去。这台机器访问外网时使用的时nat网关转发。所以很好奇。这个是如何入侵的。继续查

4 个赞
4

image
image673×459 31.3 KB

fs的进程源文件在/tmp, 已经被删除了

6 个赞
5

虽然被删除了,但是内存里还有,先备份一下
cp /proc/31189/exe /Hosting/fs

3 个赞
6

看下这个程序在干吗

image
image459×103 3.77 KB

发现好像没了活动

2 个赞
7

@Sigmund 大佬来活了 :bili_057:

2 个赞
8

看下有没有什么信息
strings /Hosting/fs

image
image710×282 8.38 KB

找到一个地址,打开发现,原来是一个加壳的工具

2 个赞
9

看起来好牛啊…

3 个赞
10

哇咔咔,蹲个大佬,标记一下~

4 个赞
11

cat /proc/31189/environ | tr ‘\0’ ‘\n’
XDG_SESSION_ID=36125
HOSTNAME=xxxx.compute.internal
TERM=xterm
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=172.16.3.28 60248 22
OLDPWD=/tmp
SSH_TTY=/dev/pts/1
USER=jms-admin
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=01;05;37;41:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:.tar=01;31:.tgz=01;31:.arc=01;31:.arj=01;31:.taz=01;31:.lha=01;31:.lz4=01;31:.lzh=01;31:.lzma=01;31:.tlz=01;31:.txz=01;31:.tzo=01;31:.t7z=01;31:.zip=01;31:.z=01;31:.Z=01;31:.dz=01;31:.gz=01;31:.lrz=01;31:.lz=01;31:.lzo=01;31:.xz=01;31:.bz2=01;31:.bz=01;31:.tbz=01;31:.tbz2=01;31:.tz=01;31:.deb=01;31:.rpm=01;31:.jar=01;31:.war=01;31:.ear=01;31:.sar=01;31:.rar=01;31:.alz=01;31:.ace=01;31:.zoo=01;31:.cpio=01;31:.7z=01;31:.rz=01;31:.cab=01;31:.jpg=01;35:.jpeg=01;35:.gif=01;35:.bmp=01;35:.pbm=01;35:.pgm=01;35:.ppm=01;35:.tga=01;35:.xbm=01;35:.xpm=01;35:.tif=01;35:.tiff=01;35:.png=01;35:.svg=01;35:.svgz=01;35:.mng=01;35:.pcx=01;35:.mov=01;35:.mpg=01;35:.mpeg=01;35:.m2v=01;35:.mkv=01;35:.webm=01;35:.ogm=01;35:.mp4=01;35:.m4v=01;35:.mp4v=01;35:.vob=01;35:.qt=01;35:.nuv=01;35:.wmv=01;35:.asf=01;35:.rm=01;35:.rmvb=01;35:.flc=01;35:.avi=01;35:.fli=01;35:.flv=01;35:.gl=01;35:.dl=01;35:.xcf=01;35:.xwd=01;35:.yuv=01;35:.cgm=01;35:.emf=01;35:.axv=01;35:.anx=01;35:.ogv=01;35:.ogx=01;35:.aac=01;36:.au=01;36:.flac=01;36:.mid=01;36:.midi=01;36:.mka=01;36:.mp3=01;36:.mpc=01;36:.ogg=01;36:.ra=01;36:.wav=01;36:.axa=01;36:.oga=01;36:.spx=01;36:*.xspf=01;36:
PATH=/bin:/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:/home/jms-admin/.local/bin:/home/jms-admin/bin:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin:/tmp
MAIL=/var/spool/mail/jms-admin
PWD=/tmp/.X11-unix
JAVA_HOME=/opt/jdk1.8
LANG=en_US.UTF-8
HISTCONTROL=ignoredups
HOME=/home/jms-admin
SHLVL=4
CWD=/tmp/e2d5e14bws
LOGNAME=jms-admin
SSH_CONNECTION=172.16.3.28 60248 172.18.1.153 22
CLASSPATH=.:/lib/dt.jar:/lib/tools.jar
LESSOPEN=||/usr/bin/lesspipe.sh %s
XDG_RUNTIME_DIR=/run/user/1001
HISTFILE=/tmp/.del
_=./fs

看了下environ ,发现是从我jmpserver过来的。但是感觉不对。jms如果被黑了。那服务器应该不止这一台了。感觉有地方不清楚。有没有大佬,给指点指点

3 个赞
12

太牛了 完全都不看不懂

3 个赞
13

进来围观学习下

5 个赞
14

image
image710×238 22.3 KB

查看是否对外连接,有没有打隧道或者穿透的
发现没有直接的对外隧道
但是在跟本地进程进行交互。
fs 31189 jms-admin 5r FIFO 0,11 0t0 11215292 pipe
fs 31189 jms-admin 6w FIFO 0,11 0t0 11215292 pipe

5 个赞
15

蹲个后续

4 个赞
16

image
image803×403 39.2 KB

出来一堆,找一个看看是什么玩意

4 个赞
17

前排围观学习

3 个赞
18

进来蹲后续

6 个赞
19

image
image735×574 50.6 KB

都是一堆子进程好像

5 个赞
20

通过跳板机进来的,那就去看看跳板机的日志,谁通过跳板机登录了这个机器呢?感觉是跳板机账号被爆破,或者说不定是有内鬼呢。

5 个赞