19,613
社区成员
发帖
与我相关
我的任务
分享发现我们内网的挖矿病毒和postgres数据库有关请问这是怎么回事?
postgres是在官网现在的安装包,也有拉的docker镜像都有被感染得例子,但也不是每个数据库都中毒了
并且发现有个装有postgres数据库得网友也中了这种挖矿病毒
内网有挖矿病毒,我先和各位说一下表现特征,麻烦各位大神访问分析一下
1.会不断的暴力破解内网其他22号 端口root用户密码,一直尝试登陆
2.进程名字是无规则的字母比如ualDvKdU
3.部分机器上可以发现计划任务里的脚本,脚本通过base64加密,还用chattr加锁文件,脚本会存在于/root/.xxx.sh 和/opt/xxx.sh
4.一般病毒有两个无规则的进程,名字都没有规律。其中一个占用CPU 100% 另外一个不占用资源
5.大部分机器通过lsof 命令分析进程基本找不到被调用的文件
6.病毒进程会在/tmp/.X11-unix/目录下生产名字为11 01 22之类的文件,里面写入的是进程的PID
我的应对措施
PermitRootLogin no
systemctl stop crond && crontab -e
chmod 000 /usr/local/bin/curl && chattr +i /usr/local/bin/curl
chmod 000 /usr/bin/curl && chattr +i /usr/bin/curl
cd /tmp/.X11-unix && rm -rf 00 11 22
chmod 400 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
mv /usr/bin/chattr /usr/bin/bak.chattr
/usr/bin/tracepath /usr/sbin/tracepath
chattr -i /root/.systemd-service.sh && echo >/root/.systemd-service.sh && chmod 000 /root/.systemd-service.sh && chattr +i /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && echo >/opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh && chattr +i /opt/systemd-service.sh && kill -9 `cat /tmp/.X11-unix/11` && kill -9 `cat /tmp/.X11-unix/01`
rm -rf /tmp/.X11-unix/01 /tmp/.X11-unix/11 /tmp/.X11-unix/22 && chmod 000 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
我通过上述命令和更改ssh端口号基本已经控制了病毒,进程不再启动,
两个月后病毒又发现在内网当中,病毒的脚本名发生了变法,其他的套路基本一样
这次我用lsof命令发现部分机器上的病毒和postgres数据库有关,请各位分析一下为什么和数据库有关,是数据库存在安全漏洞吗
以下是两台被感染机器的截
并且发现有个装有postgres数据库得网友也中了这种挖矿病毒
内网有挖矿病毒,我先和各位说一下表现特征,麻烦各位大神访问分析一下
1.会不断的暴力破解内网其他22号 端口root用户密码,一直尝试登陆
2.进程名字是无规则的字母比如ualDvKdU
3.部分机器上可以发现计划任务里的脚本,脚本通过base64加密,还用chattr加锁文件,脚本会存在于/root/.xxx.sh 和/opt/xxx.sh
4.一般病毒有两个无规则的进程,名字都没有规律。其中一个占用CPU 100% 另外一个不占用资源
5.大部分机器通过lsof 命令分析进程基本找不到被调用的文件
6.病毒进程会在/tmp/.X11-unix/目录下生产名字为11 01 22之类的文件,里面写入的是进程的PID
我的应对措施
PermitRootLogin no
systemctl stop crond && crontab -e
chmod 000 /usr/local/bin/curl && chattr +i /usr/local/bin/curl
chmod 000 /usr/bin/curl && chattr +i /usr/bin/curl
cd /tmp/.X11-unix && rm -rf 00 11 22
chmod 400 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
mv /usr/bin/chattr /usr/bin/bak.chattr
/usr/bin/tracepath /usr/sbin/tracepath
chattr -i /root/.systemd-service.sh && echo >/root/.systemd-service.sh && chmod 000 /root/.systemd-service.sh && chattr +i /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && echo >/opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh && chattr +i /opt/systemd-service.sh && kill -9 `cat /tmp/.X11-unix/11` && kill -9 `cat /tmp/.X11-unix/01`
rm -rf /tmp/.X11-unix/01 /tmp/.X11-unix/11 /tmp/.X11-unix/22 && chmod 000 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
我通过上述命令和更改ssh端口号基本已经控制了病毒,进程不再启动,
两个月后病毒又发现在内网当中,病毒的脚本名发生了变法,其他的套路基本一样
这次我用lsof命令发现部分机器上的病毒和postgres数据库有关,请各位分析一下为什么和数据库有关,是数据库存在安全漏洞吗
以下是两台被感染机器的截
...全文
请发表友善的回复…
发表回复
狂人日志 2020-11-16
- 打赏
- 举报
我怀疑和Postgres版本有关系 最近我把终端的postgres关了 ,暂时没问题了
济南大鹏 2020-11-13
- 打赏
- 举报
楼主问题解决了吗?我最近也遇上了和你一样的问题。。
wisewoman 2020-10-29
- 打赏
- 举报
postgres 开放公网权限了?还有其它服务开放了?都应该查下,还是有简单密码了?如果还有history的话,也应该看下,远程登陆限制下IP试试
狂人日志 2020-10-29
- 打赏
- 举报
postgres 没开公网权限 现在是开公网权限的机器没中毒 中毒的没开公网权限。然后我们试过把postgres弄到一个隔离的局域网环境运行,当然了这个环境里的机器可以访问外网,但是外网不能访问这个机器,结果也出现了挖矿进程。
