水一篇挖矿清除记录
2022-8-31 10:4:5 Author: 每天一个入狱小技巧(查看原文) 阅读量:14 收藏

没有开场白,直接步入正题

某日,客户A部门反应,B部门在爆破他们的服务器,同时B部门反应A部门在爆破B部门服务器,于是乎工程师进行现场查看排查;

下图为A部门服务器当时的资源情况截图

跟进该进程,查看一下它的进程列表

然后就被我给kill掉了这个进程,并且在tmp目录下发现了相关的文件;但是问题当然是没解决,因为此次事件的流量出口很大,甚至对网关造成了影响,流量都阻塞了,并且根据当时的反应,此次事件是具备SSH爆破行为的,下图为当时的服务器上的tmp目录,发现的恶意脚本文件

他们具体有哪些作用,我们稍后分析;

而后去了客户B的部门,并且听到了服务器要起飞的声音,我毫不怀疑是不是风扇装服务器外卖它会飞起来。

当时的top查看资源占用情况,很令我疑惑,病毒似乎没怎么跑起来

然后查看了一下计划任务,在计划任务里看到了恶意样本的一些运行情况,好家伙,22分钟跑一次,并且在根路径下看到了对应的隐藏文件


查看样本信息,发现是base64编码格式

解码后,发现也是乱七八糟的东西,但是可以简单的看懂一些逻辑

可以看见,首先是看了一下用户id并且看了一下etc/passwd文件而后裁剪了一部分做了个切片处理,而后轮询DNS地址,探测出网情况,并访问多个tor地址并下载了什么东西,将下载的文件进行了chmod操作,还开启了socks5的9050端口,似乎在传输或者是接收什么东西(看样子似乎是把用户的信息包括id、ip信息、计划任务等传上去了),而后将东西传进/tmp/.X11-unix等目录下



刚刚我们提到了.sshx文件,该文件内容如下

其实这里面的文件,ip文件是该服务器爆破的ip记录,pw文件内容是口令密码;r0-r8是一些其他服务的用户名,功能应该是不仅仅是爆破ssh,可能还会对mysql、sqlserver等服务进行爆破,ss/ssh文件装的其实就是几个用户名,图忘记截了

当然了不能忘记去查看常规的计划任务文件

该目录下内容如下,该脚本为57分钟运行一次

最后要做的,是按照该类似规则进行全盘查找

最后做的当然是把他们都删掉了,凡是我看到chmod 777 的基本都被我删了,而后服务器重启数次,并运行了一个礼拜左右,发现问题没有再次出现,问题解决。

总结其实就是,服务器出现挖矿事件的时候,不仅仅需要清除病毒本体,同时需要进行计划任务的查看,重点关注tmp目录与etc目录下的各个计划任务文件,基本可以解决问题

------------------------------------------------------------------------------

公众号后台回复“加群”查看邀请链接


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2MzYzNjEyMg==&mid=2247486324&idx=1&sn=d60bfe16988c09a2d8f4df4a3c83bfef&chksm=ce74d481f9035d97e0c6931f079febecebe8a082e92bf10b7eaad4636effd476699be1c6f63c#rd
如有侵权请联系:admin#unsafe.sh