分析 /data/rcu_scheb
文件的创建者、来源以及幕后主使:
1. 收集文件信息
首先,确保你有足够的权限来查看和分析文件。使用 ls -l
和 stat
命令来收集文件的基本信息,例如所有者、创建时间、修改时间等。
ls -l /data/rcu_scheb
stat /data/rcu_scheb
2. 分析文件内容
查看文件内容
strings /data/rcu_scheb
十六进制查看
hexdump -C /data/rcu_scheb
3. 检查文件签名
使用反病毒软件检查文件是否含有已知的恶意签名:
clamscan /data/rcu_scheb
4. 查看系统日志
检查系统日志以寻找有关文件创建或修改的记录:
grep rcu_scheb /var/log/syslog
grep rcu_scheb /var/log/auth.log
5. 检查进程和定时任务
查看是否有可疑进程正在运行,并检查定时任务配置:
ps aux | grep rcu_scheb
crontab -l
sudo crontab -l
sudo cat /etc/crontab
sudo find /etc/cron.* -name "*.d" -exec cat {} \;
输出信息:
root 1624620 0.0 0.0 8688 2352 pts/84 S+ 10:54 0:00 grep rcu_scheb
@monthly /root/.cfg/./dealer > /dev/null 2>&1 & disown
@monthly /root/.cfg/./dealer > /dev/null 2>&1 & disown
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
# You can also override PATH, but by default, newer versions inherit it from the environment
#PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# Example of job definition:
# .---------------- minute (0 - 59)
# | .------------- hour (0 - 23)
# | | .---------- day of month (1 - 31)
# | | | .------- month (1 - 12) OR jan,feb,mar,apr ...
# | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# | | | | |
# * * * * * user-name command to be executed
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
0 */3 * * * root sh /home/nvidia/yxl/shell/startdownapkjar.sh >> /home/nvidia/yxl/shell/startdownapkjar.log 2>&1
0 6 * * * root sh /home/nvidia/yxl/shell/mvinfofile.sh >> /home/nvidia/yxl/shell/mvinfofile.log 2>&1
cat: /etc/cron.d: Is a directory
提供的信息显示了 /etc/crontab
文件的部分内容,并且指出了一个名为 dealer
的脚本被安排在每月执行一次。此外,还有一些其他的定时任务也被安排在不同的时间点执行。
让我们逐步分析这些信息:
5.1. 分析 dealer
脚本
@monthly /root/.cfg/./dealer > /dev/null 2>&1 & disown
这条 cron 任务安排了一个脚本 /root/.cfg/./dealer
在每月的指定时间执行,并且将标准输出和标准错误重定向到 /dev/null
,同时使用 disown
命令使其脱离当前的 shell 会话。
5.2. 检查脚本内容
为了进一步了解 dealer
脚本的作用,我们需要查看脚本的内容:
cat /root/.cfg/./dealer
如果脚本有执行权限,可以尝试执行查看其行为:
chmod +x /root/.cfg/./dealer
/root/.cfg/./dealer
5.3. 检查其他定时任务
除了 dealer
脚本外,还有其他几个定时任务:
0 */3 * * * root sh /home/nvidia/yxl/shell/startdownapkjar.sh >> /home/nvidia/yxl/shell/startdownapkjar.log 2>&1
0 6 * * * root sh /home/nvidia/yxl/shell/mvinfofile.sh >> /home/nvidia/yxl/shell/mvinfofile.log 2>&1
同样,我们需要查看这些脚本的内容:
cat /home/nvidia/yxl/shell/startdownapkjar.sh
cat /home/nvidia/yxl/shell/mvinfofile.sh
5.4. 分析脚本行为
通过查看脚本内容,可以大致了解脚本的功能。例如,startdownapkjar.sh
可能涉及下载某些 APK 或 JAR 文件,而 mvinfofile.sh
可能涉及移动某些信息文件。
5.5. 检查日志文件
检查脚本的日志文件,了解脚本执行的结果:
cat /home/nvidia/yxl/shell/startdownapkjar.log
cat /home/nvidia/yxl/shell/mvinfofile.log
5.6. 检查系统日志
查看系统日志文件,了解是否有与这些脚本相关的记录:
grep dealer /var/log/syslog
grep startdownapkjar /var/log/syslog
grep mvinfofile /var/log/syslog
5.7. 检查网络活动
检查是否有与这些脚本相关的网络活动:
sudo netstat -ntlp | grep LISTEN
sudo ss -ntlp | grep LISTEN
5.8. 检查进程
检查是否有与这些脚本相关的进程正在运行:
ps aux | grep dealer
ps aux | grep startdownapkjar
ps aux | grep mvinfofile
5.9. 检查依赖文件
检查这些脚本依赖的文件是否存在可疑行为:
find / -name "startdownapkjar*" 2>/dev/null
find / -name "mvinfofile*" 2>/dev/null
6. 检查网络活动
查看是否有可疑的网络连接:
sudo netstat -ntlp | grep LISTEN
sudo ss -ntlp | grep LISTEN
7. 检查启动项和服务
查看是否有服务或启动项与该文件有关:
sudo systemctl list-unit-files | grep rcu_scheb
sudo systemctl list-units --type=service | grep rcu_scheb
8. 检查依赖关系
查看文件运行时所需的库和其他依赖:
ldd /data/rcu_scheb
9. 检查历史版本
如果文件系统支持版本控制(如 rsync
的 --backup
选项或 snapshots
),可以查看历史版本:
find /data -name "rcu_scheb.*"
10. 检查包管理器记录
如果是通过包管理器安装的,可以查询哪个包包含了这个文件,并查看安装历史:
dpkg -S /data/rcu_scheb
cat /var/log/dpkg.log | grep rcu_scheb
11. 使用审计日志
如果系统启用了审计功能,可以查看与该文件相关的审计记录:
sudo ausearch -f rcu_scheb
12. 检查用户活动
查看用户登录记录,以确定哪些用户在特定时间内登录过系统:
last
lastlog
who
w
13. 分析文件的来源
检查下载记录
查看浏览器下载记录或下载目录,以确定文件是如何下载到系统上的。
检查邮件附件
查看电子邮件账户,确认是否有可疑邮件附件。
检查远程服务器
如果怀疑是从远程服务器下载的,可以检查 FTP/SFTP 传输记录或 SSH 登录记录。
14. 分析恶意代码
如果文件确实是恶意代码,可以使用沙箱环境(如 Cuckoo Sandbox)来监控其行为,并分析其通信记录、文件操作等。
15. 寻找幕后主使
分析通信流量
查看网络流量,分析与挖矿服务器之间的通信记录,尝试追踪 IP 地址或域名。
检查命令与控制(C&C)服务器
分析挖矿木马的配置文件或代码,寻找指向 C&C 服务器的信息。
跟踪数字货币地址
如果挖矿木马涉及到数字货币挖掘,可以尝试跟踪所使用的数字货币地址,以追踪资金流向。
总结
通过上述步骤和技术手段,你可以尽可能地了解 /data/rcu_scheb
文件的创建者、来源以及幕后主使。然而,由于黑客技术的复杂性和隐蔽性,完全追踪幕后主使可能非常困难。如果你怀疑系统被感染,建议立即采取措施隔离受影响的主机,并寻求专业的安全团队帮助。