initdz linux挖坑病毒分析

最新推荐文章于 2024-07-19 07:35:52 发布
最新推荐文章于 2024-07-19 07:35:52 发布
阅读量948 收藏 1
点赞数
分类专栏: 二进制 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CosmopolitanMe/article/details/90046675
版权

拉进ida里面反编译一下

在这里插入图片描述函数名很清晰,看来是没有去掉符号信息

进入checkhost()里面

在这里插入图片描述也很清楚,选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序

进入checkzigw()函数

在这里插入图片描述删除同类的挖坑软件,详细说一下,先pkill zigw进程,改变zigw的属性为可见可修改,使用rm -rf /etc/zigw删除zigw

进入initfile()函数,这个函数比较重要,从服务器下载了挖坑程序并且执行,将自己复制为/tmp/initdz

在这里插入图片描述
在这里插入图片描述如果没有httpdz文件,就从服务器下载httpdz并且改属性为777,可读可写可执行

在这里插入图片描述下载挖坑migrations并改成属性可执行

在这里插入图片描述在这里插入图片描述
将rm程序改为rmm,并且替换为自己的程序
在这里插入图片描述

进入checkcrontab()

在这里插入图片描述因该是设置定时启动,没有仔细分析。。。

竟然checkssh()

在这里插入图片描述
替换用户的authorized_keys,用于黑客远程ssh登陆

进入kill()函数

在这里插入图片描述kill同类的挖矿软件,挖矿只能我挖?
在这里插入图片描述这个so文件用于DDos攻击,杀了也好

进入checkservice()

在这里插入图片描述创建挖矿服务

进入checkhost()

在这里插入图片描述修改hosts文件,域名重定向到127.0.0.1使其他挖矿不能工作,挖矿只能我挖?

最后clean()

在这里插入图片描述清除日志信息
history -c清除当前用户的命令信息
echo > /var/log/secure 清除安全日志
echo > /root/.bash_history 删除终端历史记录

样本下载:https://pan.baidu.com/s/1LCUl-CP0GSFNCRjvql2XxA

Cosmop01itan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux 下qW3xT.2,解决挖矿病毒
yk10010的博客
08-13 1653
早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。 在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。 解决办法: 1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis 2、进入/tmp文件夹下。发现qW3xT.2文件,删除。之后kill掉qW3x...
Linux挖矿病毒 khugepageds详细解决步骤
weixin_30565327的博客
04-01 789
一.背景 最近公司一台虚拟机被攻击,其中一种挖矿病毒、会伪CPU数、即如果用top命令只能看到一个cpu、并且负载不高、实际上整个负载300%以上,及时定时任务关掉也不起作用。 二.言归正传开始干掉这个麻烦的病毒(脚本如下): #关掉定时任务 service crond stop #删除so库 busybox rm -f /etc/ld.so.pr...
收藏 | 恶意软件的九大家族介绍
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-19 860
恶意软件(malware)是指被专门设计用于损坏或中断系统、破坏保密性、完整性和/或可用性的软件,我们常说的病毒和特洛伊木马都属于恶意软件。定义范围: 恶意代码是一段具有恶意目的的程序代码片段,可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念,通常指完整的、可执行的恶意程序。功能完整性: 恶意代码可能只是实现特定恶意功能的一部分代码,不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。传播方式: 恶意代码可能嵌入在正常的软件或文件中进行传播。
Linux服务器被挖矿及解决办法
qq_40939094的博客
01-08 2665
记录一次Linux服务器被挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
Linux 挖坑不埋指南
weixin_34405354的博客
10-02 201
跳进 Linux 的唯一理由 既然知道 Linux 在这个世界已经存在了,而你又是个挺喜欢摆弄计算机的人,那么对 Linux 是怎样的一种存在难道不感到好奇么? 也许在你开始尝试使用 Linux 时,已经看到了很多对 Linux 不利的言论。例如,发行版本太多难以取舍、安装繁琐、应用程序没那么多、装显卡驱动很痛苦、无线网卡点不亮、声卡沉默...
qW3xT.2 挖坑病毒解决
半僧
08-13 1465
我遇到的是一款qW3xT.2的病毒,网上查了一下,好像是挖矿病毒。在此贴一下我找到的关于病毒的资料。这是我的服务器 这篇文章可谓是出自高手之笔,感觉说的很厉害,但是非专业人士的我有点看不懂,看个大概 https://blog.netlab.360.com/ddg-mining-botnet-jin-qi-huo-dong-fen-xi/ 还有就是下面这篇文章,比较早,但是遇到的是同类问...
病毒软件概况
sljinghua的博客
05-06 455
#mermaid-svg-I0MweWH84u10wtlx {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-I0MweWH84u10wtlx .error-icon{fill:#552222;}#mermaid-svg-I0MweWH84u10wtlx .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-I0MweWH
一个名为systemd-init的CPU挖矿病毒及后续
weweeeeeeee的博客
11-11 2532
一个名为systemd-init的CPU挖矿病毒及后续 作者root在安全 今天接到了报警,一台内部的服务器CPU负载嗷嗷的高,感到非常的疑惑,就点进去看看负载情况 CPU爆满 监控诚不欺我,果然是CPU跑爆了,然后看看Command,发现都是M开头的,这肯定就是病毒了,就开始处理 发现运行最长的进程PID是32336,就拿它下刀开始查 发现,毛都查不到,就开始按照...
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8171
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
解决挖矿病毒(sysupdate、networkservice)
叫我一横
03-20 2881
转载https://www.jianshu.com/p/b99378f0cf8f
不安全的redis设置,问题居然这么严重!(服务器挖矿病毒的解决方案)
coderxz的博客
06-29 3821
记录一次解决挖矿病毒的过程(进程:susupdate,networkservice) 昨天晚上突然收到阿里云的警报提醒,服务器又被攻击,开始还没当回事,晚上测试的时候发现服务器变的异常卡顿。然后进入后台查看,发现CPU直接飙升到100%… 文章目录1.找出病毒进程2.根据进程号找到运行文件的位置3.删除病毒进程4.删除病毒文件4.1 文件无法正常删除如何解决?5.删除定时任务(重要!!)6.修改/root/.ssh/authorized_keys文件7.修复SElinux和wget、curl指令8.被.
linux 中了挖矿病毒
qq_43373608的博客
04-16 2587
文章目录中毒特征磁盘cpu 跑满 100%如何处理反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0.0 1.8 119172 35084 ? Sl 4月15 0:04 /var/tmp/kinsing root 27247 0.0 0.0 112728 ...
linux++挖矿模式,一个Linux挖矿的简单处理
weixin_42538645的博客
05-15 1351
由于平时很少接触linux病毒现场,特意找到了一个之前处理过的现场进行复现,算是对linux命令的掌握以及对linux病毒的了解执行挖矿病毒使用top命令,站cpu占用率 可以看到PID为28842的进程占用已经为97.3%然后使用netstat -antp看网络查看网络连接 经过搜索,这两个ip都为矿池ip,到这就可以判断这是一个挖矿病毒了cd /proc/28842进入进程号目录ls -al...
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9013
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
Linux服务器中挖矿病毒
热门推荐
清风弄影
05-19 1万+
linux服务器中了挖矿病毒了,其脚步内容如下,按照脚本内容涉及进行清理。其中XMRSH需要先用chattr -i /tmp/XMRSH修改属性,否则删除不掉。#!/bin/bash#Welcome like-minded friends to come to exchange.#We are a group of people who have a dream.#              ...
记录一次挖矿事件
weixin_40368523的博客
05-20 1849
事件参考网上文章解决:https://blog.csdn.net/mdzz14/article/details/111656726 某一天在测试环境使用dcoker的时候发现不能使用,起初怀疑是否由同事卸载,后续在使用curl命令的时候发现不能使用,怀疑服务器出现了别的异常并在crontab下发现了异常脚本newinit.sh的脚本,证实服务器中了挖矿病毒。 原因:开发在测试环境搭建的redis,服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过R.
记一次Linux 病毒清理
chengsu3591的博客
11-23 723
总结: 1、病毒程序每次生成的文件都是10个随机的字母字符 2、删除/etc/init.d 下的病毒启动文件不会触发病毒再生成 3、没有排查思路时,多看看系统日志 最基本的中毒现象: 网卡流量暴增、CPU持续超过100%,发现有一长度为10的随机字符串进程,kill掉,会重新...
linux解决病毒系列之一,删除十字符libudev.so病毒文件
a304096740的博客
11-04 380
前两天被服务器商通知服务器带宽流量增加,我想了想我们服务走的内网,没有什么大的带宽占用,于是我马上登录服务器。 用top命令查看运行情况,我擦,有一个进程吃了很高的cup,于是我赶紧用kill -9 杀掉。本以为结束了,然后过了几分钟,流量又增加了。 我擦,再次用top命令查看一下,我晕又有一个随之字符串的进程出现...如此看来是中病毒了。 这病毒怎么解决了? 比如病毒为:...
Linux清理挖坑病毒sysupdate, networkservice
逸雅安然
07-08 673
清楚定时任务 crontab -l //显示定时任务 crontab -r //清楚定时任务 首先杀进程,kill -9 {进程号},然后删除文件. ps aux|grep sysupdate pa aux|grep networkservice kill -9 pid //杀死上面两个pid sysupdate、networkservice配置都在/etc/目录下,就是:sysupdate、networkservice 同时还有sysguard、update.sh,由于一般病毒会使用cha.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值