水一篇挖矿清除记录

admin 2022年8月31日14:08:37应急响应评论5 views1121字阅读3分44秒阅读模式

没有开场白,直接步入正题


某日,客户A部门反应,B部门在爆破他们的服务器,同时B部门反应A部门在爆破B部门服务器,于是乎工程师进行现场查看排查;


下图为A部门服务器当时的资源情况截图


水一篇挖矿清除记录


跟进该进程,查看一下它的进程列表


水一篇挖矿清除记录


然后就被我给kill掉了这个进程,并且在tmp目录下发现了相关的文件;但是问题当然是没解决,因为此次事件的流量出口很大,甚至对网关造成了影响,流量都阻塞了,并且根据当时的反应,此次事件是具备SSH爆破行为的,下图为当时的服务器上的tmp目录,发现的恶意脚本文件


水一篇挖矿清除记录


他们具体有哪些作用,我们稍后分析;


而后去了客户B的部门,并且听到了服务器要起飞的声音,我毫不怀疑是不是风扇装服务器外卖它会飞起来。


当时的top查看资源占用情况,很令我疑惑,病毒似乎没怎么跑起来


水一篇挖矿清除记录


然后查看了一下计划任务,在计划任务里看到了恶意样本的一些运行情况,好家伙,22分钟跑一次,并且在根路径下看到了对应的隐藏文件


水一篇挖矿清除记录


查看样本信息,发现是base64编码格式


水一篇挖矿清除记录


解码后,发现也是乱七八糟的东西,但是可以简单的看懂一些逻辑


水一篇挖矿清除记录


可以看见,首先是看了一下用户id并且看了一下etc/passwd文件而后裁剪了一部分做了个切片处理,而后轮询DNS地址,探测出网情况,并访问多个tor地址并下载了什么东西,将下载的文件进行了chmod操作,还开启了socks5的9050端口,似乎在传输或者是接收什么东西(看样子似乎是把用户的信息包括id、ip信息、计划任务等传上去了),而后将东西传进/tmp/.X11-unix等目录下


水一篇挖矿清除记录


刚刚我们提到了.sshx文件,该文件内容如下


水一篇挖矿清除记录


其实这里面的文件,ip文件是该服务器爆破的ip记录,pw文件内容是口令密码;r0-r8是一些其他服务的用户名,功能应该是不仅仅是爆破ssh,可能还会对mysql、sqlserver等服务进行爆破,ss/ssh文件装的其实就是几个用户名,图忘记截了


当然了不能忘记去查看常规的计划任务文件


水一篇挖矿清除记录


该目录下内容如下,该脚本为57分钟运行一次


水一篇挖矿清除记录


最后要做的,是按照该类似规则进行全盘查找


水一篇挖矿清除记录


最后做的当然是把他们都删掉了,凡是我看到chmod 777 的基本都被我删了,而后服务器重启数次,并运行了一个礼拜左右,发现问题没有再次出现,问题解决。


总结其实就是,服务器出现挖矿事件的时候,不仅仅需要清除病毒本体,同时需要进行计划任务的查看,重点关注tmp目录与etc目录下的各个计划任务文件,基本可以解决问题

------------------------------------------------------------------------------

公众号后台回复“加群”查看邀请链接



原文始发于微信公众号(每天一个入狱小技巧):水一篇挖矿清除记录

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月31日14:08:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  水一篇挖矿清除记录 http://cn-sec.com/archives/1265932.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: