postgres是在官网现在的安装包,也有拉的docker镜像都有被感染得例子,但也不是每个数据库都中毒了
并且发现有个装有postgres数据库得网友也中了这种挖矿病毒
内网有挖矿病毒,我先和各位说一下表现特征,麻烦各位大神访问分析一下
1.会不断的暴力破解内网其他22号 端口root用户密码,一直尝试登陆
2.进程名字是无规则的字母比如ualDvKdU
3.部分机器上可以发现计划任务里的脚本,脚本通过base64加密,还用chattr加锁文件,脚本会存在于/root/.xxx.sh 和/opt/xxx.sh
4.一般病毒有两个无规则的进程,名字都没有规律。其中一个占用CPU 100% 另外一个不占用资源
5.大部分机器通过lsof 命令分析进程基本找不到被调用的文件
6.病毒进程会在/tmp/.X11-unix/目录下生产名字为11 01 22之类的文件,里面写入的是进程的PID
我的应对措施
PermitRootLogin no
systemctl stop crond && crontab -e
chmod 000 /usr/local/bin/curl && chattr +i /usr/local/bin/curl
chmod 000 /usr/bin/curl && chattr +i /usr/bin/curl
cd /tmp/.X11-unix && rm -rf 00 11 22
chmod 400 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
mv /usr/bin/chattr /usr/bin/bak.chattr
/usr/bin/tracepath /usr/sbin/tracepath
chattr -i /root/.systemd-service.sh && echo >/root/.systemd-service.sh && chmod 000 /root/.systemd-service.sh && chattr +i /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && echo >/opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh && chattr +i /opt/systemd-service.sh && kill -9 `cat /tmp/.X11-unix/11` && kill -9 `cat /tmp/.X11-unix/01`
rm -rf /tmp/.X11-unix/01 /tmp/.X11-unix/11 /tmp/.X11-unix/22 && chmod 000 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
我通过上述命令和更改ssh端口号基本已经控制了病毒,进程不再启动,
两个月后病毒又发现在内网当中,病毒的脚本名发生了变法,其他的套路基本一样
这次我用lsof命令发现部分机器上的病毒和postgres数据库有关,请各位分析一下为什么和数据库有关,是数据库存在安全漏洞吗
以下是两台被感染机器的截