DDG挖矿病毒排查总结
2023-12-11 08:31:29 Author: HACK之道(查看原文) 阅读量:8 收藏

0、本次爆破

参考链接1:https://blog.trendmicro.com.tw/?p=63218
参考链接2:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-miner-uses-hacking-tool-haiduc-and-app-hider-xhide-to-brute-force-machines-and-servers
  • 挖矿程式使用Haiduc……

  • 目录 /tmp/.md/

  • 脚本

  • 字典文件


  • 爆破记录

  • 内网主机banner

  • haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。

  • 目录中存在字典文件、爆破记录

1、计划任务下载 i.sh shell 脚本

  • 黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本

  • 该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程

  • 生成的重要恶意文件 例:

2、ddgs母体

  • 自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备

3、处置

1)删除计划任务

2)删除用户

01.确认用户不存在进程

02.删除用户
userdel -r -f username# -r 删除用户家目录及其中的文件和邮件目录# -f 强制删除

3)删除挖矿目录
  • 挖矿目录

  • 删除

    4)删除爆破目录
  • 爆破目录

  • 删除

    5)删除其他病毒文件
  • 所有病毒文件除爆破和挖矿外均在test和test1用户目录下

6)删除排查过程中装的软件及文件
Tip
  • 本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。

作者:Joejb来源:https://www.52pojie.cn/thread-1828132-1-1.html

文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzIyMjYzNA==&mid=2247512196&idx=1&sn=9acb97995ccdfc55f92f8b30eda4359a&chksm=96d04b81a1a7c297b21f3ef78de506061efa358822262e7db68154db784dc8ad222bc5e45315&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh