魔铲挖矿分析

admin 2022年5月16日09:30:32程序逆向评论9 views1666字阅读5分33秒阅读模式

准备工作

1.VMUbuntu系统:
未来防止风扇狂转,设置CPU为最低。
设置快照。
2.魔铲样本:
主要针对Linux系统,会释放很多文件。

环境准备

魔铲挖矿分析

释放样本:
看出来有隐藏文件,go为他的运行文件。

魔铲挖矿分析

前言

接到客户反馈,cpu占用率过高,疑似被挖矿。需要去现场分析。

分析

事后分析发现一个有意思的现象,普通用户和root所达到的效果不一样(因为权限)。
普通用户清除计划任务即可解决。
root用户清除更复杂一些。

普通用户

确定程序--top

魔铲挖矿分析

查看网络连接 netstat -antp  显示pid。查看对应的程序名

魔铲挖矿分析

查看到ip 微步查看,确定挖矿。

魔铲挖矿分析

根据进程名查看文件位置:
ps -ef |grep bash
发现存在一个.go文件在执行bashbash文件特殊没有直接找到。

魔铲挖矿分析

对于挖矿程序,一般都是有守护进程,或者计划任务,这里尝试kaill掉。
kall -9 pid

魔铲挖矿分析

查看计划任务:crontab -l
清除计划任务:crontab -r

魔铲挖矿分析

删除计划任务位置的文件。
挖矿竟然停止了。
猜测可能是权限问题,相关的服务无法重启。

root用户

魔铲挖矿分析

和普通用户的差别在于,kill掉之后重启启动的进程名会发生变化。

魔铲挖矿分析

而且还在运行。

魔铲挖矿分析


查看进程对应的文件。
ps-ef |gerp 进程名

魔铲挖矿分析

在内存中查看进程。
ps:
/proc文件系统下的多种文件提供的系统信息不是针对某个特定进程的,而是能够在整个系统范围的上下文中使用。可以使用的文件随系统配置的变化而变化.
ls -la /proc/pid
发现已经被删除.(一般恶意程序都会删除自身,生成另外的服务。)

魔铲挖矿分析

接下来,先看看计划任务。存在计划任务。清除计划任务。
查看计划任务:crontab -l
清除计划任务:crontab -r

魔铲挖矿分析

魔铲挖矿分析

crontab 只会清除自身,不完全。
还需要查看/etc/cron.*目录下是否含有。

魔铲挖矿分析

魔铲挖矿分析


发现cron.*下面同时存在。需要一起删除。
使用root发现删除不被允许。不用想是ia权限问题。
lsatter 文件名 查看ia权限
charrt -ia 文件名。去掉ia权限
然后删除。


魔铲挖矿分析

魔铲挖矿分析



魔铲挖矿分析

魔铲挖矿分析


解决ia权限后,为了更快速的进行操作。这里使用find |  xargs 结合进行快速删除。
find /etc -name "pwnrig" 查看文件位置

魔铲挖矿分析


find /etc -name "pwnrig" |xargs chattr -ia 把所有pwnrig文件ia权限去掉
find /etc -name "pwnrig" |xargs rm -rf 删除所有的pwnrig
find /etc -name "pwnrig" 重新查看一下,发现全部删除

魔铲挖矿分析


为了确定是否全部删除,随便进去一个cron.*去查看,发现已经删除掉。


魔铲挖矿分析


以上计划任务检查已经完成.
但是发现挖矿程序依然在运行。

魔铲挖矿分析


猜想是否存在服务,在后台一直启动。
根据top 得到的pwnrig 去查看服务,该服务已经dead。
猜测服务名已经改变。

魔铲挖矿分析


先解释一下:
/lib/systemd/system/ (软件包安装的单元。对应的服务)
/etc/systemd/system/(系统管理员安装的单元, 服务)
Systemd 默认从目录/etc/systemd/system/读取配置文件。
但是,里面存放的大部分文件都是符号链接,指向目录/lib/systemd/system/,真正的配置文件存放在那个目录。
是否存在服务需要去/etc/systemd/system/去查看。
发现存在一个pwnrige.service 疑似就是挖矿程序。
不过比最开始的pwnrig 多了一个字母而已。


魔铲挖矿分析


看一下该服务状态为running

魔铲挖矿分析


同时去/lib/systemd/system/去查看。也发现一个pwnrigl.server的服务。

魔铲挖矿分析


确定挖矿程序pwnrig所有的服务或者程序都进行了原名+一个字母的格式。
使用find查看,查看到以下文件。
find / -name "pwnrig*"

魔铲挖矿分析


同时关闭服务,发现挖矿程序停止运行。

魔铲挖矿分析

魔铲挖矿分析


服务关闭后,继续查看。

魔铲挖矿分析

文件全部删除掉。
过程结束。



      走过,路过。不要错过。点个关注再走呗。

魔铲挖矿分析

        长按识别二维码,关注极梦C公众号哦~~

       

                        


原文始发于微信公众号(极梦C):魔铲挖矿分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日09:30:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  魔铲挖矿分析 http://cn-sec.com/archives/818024.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: