病毒清除步骤:
[1] 清除/var/spool/cron和/etc/cron.d目录下的可疑定时任务。
[2] 清除随机名的挖矿进程。
[3] 清除残留的systemd-login和.sh病毒脚本。
StartMiner
StartMiner于今年2月被发现,由于其进程及定时任务中包含2start.jpg字符串而得名,该病毒通过ssh进行传播,其特点是会创建多个包含2start.jpg字符串的恶意定时任务。
主机中毒现象:
[1] 定时任务里有包含2start.jpg的字符串。
[2] /tmp/目录下存在名为x86_的病毒文件。
[3] /etc/cron.d出现多个伪装的定时任务文件:apache、nginx、root。
病毒清除步骤:
[1] 结束挖矿进程x86_。
[2] 删除所有带有2start.jpg字符串的定时任务。
[3] 清除所有带有2start.jpg字符串的wget进程。
WatchdogsMiner
2019年一个同样以Redis未授权访问漏洞及SSH爆破传播的WatchdogsMiner家族被发现,由于其会在/tmp/目录下释放一个叫watchdogs的母体文件而得名。WatchdogsMiner的初始版本会将恶意代码托管在pastebin.com上以绕过检测,不过后续版本已弃用,改为自己的C&C服务器.systemten.org。该病毒的特点是样本由go语言编译,并试用了伪装的hippies/LSD包(github_com_hippiesLSD)。
主机中毒现象:
[1]存在执行pastebin.com上恶意代码的定时任务。
[2]/tmp/目录下存在一个名为watchdogs的病毒文件。
[3]访问*.systemten.org域名。
病毒清除步骤:
[1] 删除恶意动态链接库 /usr/local/lib/libioset.so
[2] 清理 crontab 异常项[3] 使用kill命令终止挖矿进程
[4] 排查清理可能残留的恶意文件:
(a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root;
(b) chkconfig watchdogs off;
© rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs。
[5] 由于文件只读且相关命令被hook,需要安装busybox并使用busybox rm命令删除。
XorDDos
XorDDoS僵尸网络家族从2014年一直存活至今,因其解密方法大量使用Xor而被命名为XorDDoS,其主要用途是DDos公网主机,特点是样本运用了“多态”及自删除的方式,导致主机不断出现随机名进程,同时采用了Rootkit技术隐藏通信IP及端口。
主机中毒现象:
[1] 存在病毒文件/lib/libudev.so。
[2] 在/usr/bin,/bin,/lib,/tmp目录下有随机名病毒文件。
[3]存在执行gcc.sh的定时任务。
病毒清除步骤:
[1] 清除/lib/udev/目录下的udev程序。
[2] 清除/boot下的随机恶意文件(10个随机字符串数字)。
[3] 清除/etc/cron.hourly/cron.sh和/etc/crontab定时器文件相关内容。
[4] 如果有RootKit驱动模块,需要卸载相应的驱动模块,此次恶意程序主要它来隐藏相关的网络IP端口。
[5] 清除/lib/udev目录下的debug程序。
RainbowMiner
RainbowMiner自2019年就频繁出现,由于其访问的C&C域名带有Rainbow字符串而得名,其最大的特点是会隐藏挖矿进程kthreadds,排查人员会发现主机CPU占用率高,但找不到可疑进程。
主机中毒现象:
[1] 隐藏挖矿进程/usr/bin/kthreadds,主机CPU占用率高但看不到进程。
[2] 访问Rainbow66.f3322.net恶意域名。
[3] 创建ssh免密登录公钥,实现持久化攻击。
[4] 存在cron.py进程持久化守护。
病毒清除步骤:
[1] 下载busybox:wget http://www.busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64。
[2] 使用busybox top定位到挖矿进程kthreadds及母体进程pdflushs,并清除。
[3] 删除/usr/bin/kthreadds及/etc/init.d/pdflushs文件,及/etc/rc*.d/下的启动项。
[4] 删除/lib64/下的病毒伪装文件。
[5] 清除python cron.py进程。
加固建议
1、Linux恶意软件以挖矿为主,一旦主机被挖矿了,CPU占用率高,将会影响业务,所以,需要实时监控主机CPU状态。
2、定时任务是恶意软件惯用的持久化攻击技巧,应定时检查系统是否出现可疑定时任务。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数软件测试工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年软件测试全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上软件测试开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注软件测试)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注软件测试)
[外链图片转存中…(img-rEx2mn4f-1712976815865)]
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
