小记一次挖矿病毒的清除
2022-11-2 08:10:46 Author: 系统安全运维(查看原文) 阅读量:23 收藏

小记一次挖矿病毒的清除

起因是因为今天在群里看到一位群友发问。
群友们正在帮助积极查找问题所在的情况
当时一看删除之后又会重新自己启动一次,这仿佛是个矿机病毒,该脚本总是去生成 /tmp/.x/-bash 脚本去执行病毒进程,再把该脚本删除,让人不能轻易发现。
这样一来,直接使用以下命令生成这个文件后,再强制赋予它不能删除、不能更改、不能移动的限制,这样病毒就不能将病毒内容输入该脚本去执行了:
$ touch -bash$   chattr +i -bashlsattr   -bash----i--------e-   -bash
但是到底是哪里调用并生成了这个脚本呢?
查看/var/log/cron日志文件可以看到之前的确是通过crontab调用的,清除掉crontab后它改从/etc/cron.daily和/etc/cron.weekly以及hourly
至此,可以看到他的源头文件是/bin/sysdrr该定时任务脚本将该文件复制到/usr/bin/-bash,然后再执行该脚本,再rm删除脚本。把sysdrr文件删除,如果设置了不可删除权限则将该权限移除后顺利删除,并删除其他cron文件。
如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247511609&idx=2&sn=9c3979ef16eef9ef1c2b7f41a4c65057&chksm=c3087d49f47ff45fed083256985939819c45ae2c5ffcf341083f71a43cc9c2e7f18253e5dbf6#rd
如有侵权请联系:admin#unsafe.sh