0、本次爆破
-
挖矿程式使用Haiduc……
-
目录 /tmp/.md/
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
脚本
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
字典文件
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
爆破记录
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
内网主机banner
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。
-
目录中存在字典文件、爆破记录
1、计划任务下载 i.sh shell 脚本
-
黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程
-
生成的重要恶意文件 例:
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
2、ddgs母体
-
自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
3、处置
1)删除计划任务
2)删除用户
01.确认用户不存在进程
02.删除用户
userdel -r -f username# -r 删除用户家目录及其中的文件和邮件目录# -f 强制删除
3)删除挖矿目录
-
挖矿目录
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
删除
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
4)删除爆破目录
-
爆破目录
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
-
删除
![DDG挖矿病毒排查总结]( "DDG挖矿病毒排查总结")
5)删除其他病毒文件
-
所有病毒文件除爆破和挖矿外均在test和test1用户目录下
6)删除排查过程中装的软件及文件
Tip
-
本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。
作者:Joejb来源:https://www.52pojie.cn/thread-1828132-1-1.html
原文始发于微信公众号(HACK之道):DDG挖矿病毒排查总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论