XINJH
网络有趣资源收集分享

记一次 NAS 被入侵植入挖矿病毒的解决方案

记一次 NAS 被入侵植入挖矿病毒的解决方案

最近收到了ISP发来的邮件,显示自己的ip发出了大量的ssh链接。那么肯定是有问题了。
从路由器开始查吧,翻log和连接状态发现, 这些连接都是NAS发出的。 一共3400多个,肯定不正常

登录NAS
top 查看发现

2843 root 20 0 793988 16816 2648 S 26.5 3.3 148:58.35 .koworker

然后通过命令

 netstat -natp


发现大量连接是通过: PID为 2843/koworker 生成的
应该是一个挖矿病毒

那么就着手开始清理
先杀掉那个进程

kill 2843

然后过了一会儿,它又出现了

31858 root 20 0 793732 7760 2028 S 16.5 1.5 0:07.82 .koworker

有问题。

查了一下crontab, NAS里面我是没有写过任何的cron命令的,但是现在有如下两条

*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &

很好,至少给我指明了方向:
清除掉crontab

先去/usr/bin/中删除 .koworker
顺便看了一下这个文件夹中所有的隐藏文件,发现一个.cron, 内容和crontab的一样。一起删除了吧

然后去/root/中删除.tmp00文件夹
删除之前我还看了一下那个bash文件,里面全是乱码。如所料这是一个编译后的文件(非bash脚本)无法直接查看。
居然删不掉,会自动生成
重新看了一下crontab 第一行会自动生成

*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1

继续尝试
根据.tmp00中列出的文件

-rwxr-xr-x 1 root root 4193056 Oct  7 11:32 bash
-rwxr-xr-x 1 root root 1463596 Oct  7 11:32 bash_arm
-rw-rw-rw- 1 root root       0 Oct  7 11:32 bash.pid
-rw-rw-rw- 1 root root     880 Oct  7 11:32 cfg
-rw-rw-rw- 1 root root     880 Oct  7 11:32 cfgi
-rw-rw-rw- 1 root root      36 Oct  7 11:32 uuid

先取消bash和bash_arm的执行权限

chmod -x *

然后杀掉进程bash 和 bash_arm

pkill bash
pkill bash_arm

之后编辑.tmp00/bash随便删除几行,破坏掉它
继续编辑.tmp00/bash_arm, 同样破坏掉

再次尝试删除.tmp00

成功!

修改crontab

同样成功了

现在查看一下以下文件,是否同样被感染
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/system
/etc/cron.d/root
/etc/cron.hourly/oanacron
/etc/cron.daily/oanacron
/etc/cron.monthly/oanacron
/etc/cron.monthly/oanacron3

在/var/spool/cron/crontabs/发现除了root还有大量的tmp.[*]的文件

-rw------- 1 root crontab 300 Aug 24  2019 tmp.EavkeE
-rw------- 1 root crontab 300 Nov 19  2019 tmp.eEA8ez
-rw------- 1 root crontab 300 Sep 29 01:00 tmp.Ej7nqe
-rw------- 1 root crontab   0 Jan 21  2020 tmp.F5H4lW
-rw------- 1 root crontab 300 Sep 12 01:00 tmp.F6VTAO
-rw------- 1 root crontab 300 Dec 21  2019 tmp.fbpyez
-rw------- 1 root crontab 300 Jul 12 01:00 tmp.fDZPnF
-rw------- 1 root crontab 300 Jan 10  2020 tmp.FhAMiv
-rw------- 1 root crontab 300 May 14 01:00 tmp.fPStrS
-rw------- 1 root crontab 300 May  7 01:00 tmp.FRVG1a
-rw------- 1 root crontab 300 Jan 31  2020 tmp.g3u3hO
-rw------- 1 root crontab 300 Feb 16  2020 tmp.GAV3gn
-rw------- 1 root crontab 300 Sep  8  2019 tmp.GHnDOv
-rw------- 1 root crontab   0 Sep 12  2019 tmp.gjpVBi
-rw------- 1 root crontab 300 Oct 25  2019 tmp.Glp2y4
-rw------- 1 root crontab 300 Jun 12 01:00 tmp.gMNzXy
-rw------- 1 root crontab 300 Oct 17  2019 tmp.GqBJOS
-rw------- 1 root crontab 300 Mar 14  2020 tmp.Gthj5Y
-rw------- 1 root crontab 300 Sep  2 01:00 tmp.h3uCzs
-rw------- 1 root crontab 300 Jul 25 01:00 tmp.HF7YR1
-rw------- 1 root crontab 300 Mar 22  2020 tmp.HLXJ1R
-rw------- 1 root crontab 300 Jan 22  2020 tmp.HqsHSV
-rw------- 1 root crontab 300 Mar 16  2020 tmp.hyqbhF
-rw------- 1 root crontab 300 Aug 28  2019 tmp.IF0DvV
-rw------- 1 root crontab 300 Sep 20 01:00 tmp.imPp7K

里面内容是:(举例)

# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (- installed on Wed Apr 22 01:00:19 2020)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
* * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &

不用客气,全删了

应该差不多了
最后用 ClamAV 执行全盘扫描:

clamscan -r --bell -i /

会比较花时间,但是值得做一次

完成后,重启NAS

又查看了一下路由器,连接都是正常的了

后记:

  1. 改掉所有密码
  2. 关掉NAS的SSH,或者只接受本地ssh连接
  3. 设置防火墙,去掉不必要的端口
  4. 控制权限

赞(0) 打赏
本文链接:信聚合 » 记一次 NAS 被入侵植入挖矿病毒的解决方案
本文链接: https://xinjh.info/记一次-nas-被入侵植入挖矿病毒的解决方案/

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址