浅扒挖矿木马程序文件

之群害马

已于 2024-09-30 11:42:00 修改

阅读量462

点赞数 3

文章标签：网络服务器 php

于 2024-09-30 10:54:16 首次发布

本文链接：https://blog.csdn.net/Ppandaer/article/details/142652140

版权

分析 /data/rcu_scheb 文件的创建者、来源以及幕后主使：

1. 收集文件信息

首先，确保你有足够的权限来查看和分析文件。使用 ls -l 和 stat 命令来收集文件的基本信息，例如所有者、创建时间、修改时间等。

ls -l /data/rcu_scheb
stat /data/rcu_scheb

2. 分析文件内容

查看文件内容

strings /data/rcu_scheb

十六进制查看

hexdump -C /data/rcu_scheb

3. 检查文件签名

使用反病毒软件检查文件是否含有已知的恶意签名：

clamscan /data/rcu_scheb

4. 查看系统日志

检查系统日志以寻找有关文件创建或修改的记录：

grep rcu_scheb /var/log/syslog
grep rcu_scheb /var/log/auth.log

5. 检查进程和定时任务

查看是否有可疑进程正在运行，并检查定时任务配置：

ps aux | grep rcu_scheb
crontab -l
sudo crontab -l
sudo cat /etc/crontab
sudo find /etc/cron.* -name "*.d" -exec cat {} \;

输出信息：

root     1624620  0.0  0.0   8688  2352 pts/84   S+   10:54   0:00 grep rcu_scheb
@monthly /root/.cfg/./dealer  > /dev/null 2>&1 & disown
@monthly /root/.cfg/./dealer  > /dev/null 2>&1 & disown
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
# You can also override PATH, but by default, newer versions inherit it from the environment
#PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

0 */3 * * * root sh /home/nvidia/yxl/shell/startdownapkjar.sh >> /home/nvidia/yxl/shell/startdownapkjar.log 2>&1
0 6 * * * root sh /home/nvidia/yxl/shell/mvinfofile.sh >> /home/nvidia/yxl/shell/mvinfofile.log 2>&1
cat: /etc/cron.d: Is a directory

提供的信息显示了 /etc/crontab 文件的部分内容，并且指出了一个名为 dealer 的脚本被安排在每月执行一次。此外，还有一些其他的定时任务也被安排在不同的时间点执行。

让我们逐步分析这些信息：

5.1. 分析 `dealer` 脚本

@monthly /root/.cfg/./dealer  > /dev/null 2>&1 & disown

这条 cron 任务安排了一个脚本 /root/.cfg/./dealer 在每月的指定时间执行，并且将标准输出和标准错误重定向到 /dev/null，同时使用 disown 命令使其脱离当前的 shell 会话。

5.2. 检查脚本内容

为了进一步了解 dealer 脚本的作用，我们需要查看脚本的内容：

cat /root/.cfg/./dealer

如果脚本有执行权限，可以尝试执行查看其行为：

chmod +x /root/.cfg/./dealer
/root/.cfg/./dealer

5.3. 检查其他定时任务

除了 dealer 脚本外，还有其他几个定时任务：

0 */3 * * * root sh /home/nvidia/yxl/shell/startdownapkjar.sh >> /home/nvidia/yxl/shell/startdownapkjar.log 2>&1
0 6 * * * root sh /home/nvidia/yxl/shell/mvinfofile.sh >> /home/nvidia/yxl/shell/mvinfofile.log 2>&1

同样，我们需要查看这些脚本的内容：

cat /home/nvidia/yxl/shell/startdownapkjar.sh
cat /home/nvidia/yxl/shell/mvinfofile.sh

5.4. 分析脚本行为

通过查看脚本内容，可以大致了解脚本的功能。例如，startdownapkjar.sh 可能涉及下载某些 APK 或 JAR 文件，而 mvinfofile.sh 可能涉及移动某些信息文件。

5.5. 检查日志文件

检查脚本的日志文件，了解脚本执行的结果：

cat /home/nvidia/yxl/shell/startdownapkjar.log
cat /home/nvidia/yxl/shell/mvinfofile.log

5.6. 检查系统日志

查看系统日志文件，了解是否有与这些脚本相关的记录：

grep dealer /var/log/syslog
grep startdownapkjar /var/log/syslog
grep mvinfofile /var/log/syslog

5.7. 检查网络活动

检查是否有与这些脚本相关的网络活动：

sudo netstat -ntlp | grep LISTEN
sudo ss -ntlp | grep LISTEN

5.8. 检查进程

检查是否有与这些脚本相关的进程正在运行：

ps aux | grep dealer
ps aux | grep startdownapkjar
ps aux | grep mvinfofile

5.9. 检查依赖文件

检查这些脚本依赖的文件是否存在可疑行为：

find / -name "startdownapkjar*" 2>/dev/null
find / -name "mvinfofile*" 2>/dev/null

6. 检查网络活动

查看是否有可疑的网络连接：

sudo netstat -ntlp | grep LISTEN
sudo ss -ntlp | grep LISTEN

7. 检查启动项和服务

查看是否有服务或启动项与该文件有关：

sudo systemctl list-unit-files | grep rcu_scheb
sudo systemctl list-units --type=service | grep rcu_scheb

8. 检查依赖关系

查看文件运行时所需的库和其他依赖：

ldd /data/rcu_scheb

9. 检查历史版本

如果文件系统支持版本控制（如 rsync 的 --backup 选项或 snapshots），可以查看历史版本：

find /data -name "rcu_scheb.*"

10. 检查包管理器记录

如果是通过包管理器安装的，可以查询哪个包包含了这个文件，并查看安装历史：

dpkg -S /data/rcu_scheb
cat /var/log/dpkg.log | grep rcu_scheb

11. 使用审计日志

如果系统启用了审计功能，可以查看与该文件相关的审计记录：

sudo ausearch -f rcu_scheb

12. 检查用户活动

查看用户登录记录，以确定哪些用户在特定时间内登录过系统：

last
lastlog
who
w

13. 分析文件的来源

检查下载记录

查看浏览器下载记录或下载目录，以确定文件是如何下载到系统上的。

检查邮件附件

查看电子邮件账户，确认是否有可疑邮件附件。

检查远程服务器

如果怀疑是从远程服务器下载的，可以检查 FTP/SFTP 传输记录或 SSH 登录记录。

14. 分析恶意代码

如果文件确实是恶意代码，可以使用沙箱环境（如 Cuckoo Sandbox）来监控其行为，并分析其通信记录、文件操作等。

15. 寻找幕后主使

分析通信流量

查看网络流量，分析与挖矿服务器之间的通信记录，尝试追踪 IP 地址或域名。

检查命令与控制（C&C）服务器

分析挖矿木马的配置文件或代码，寻找指向 C&C 服务器的信息。

跟踪数字货币地址

如果挖矿木马涉及到数字货币挖掘，可以尝试跟踪所使用的数字货币地址，以追踪资金流向。

总结

通过上述步骤和技术手段，你可以尽可能地了解 /data/rcu_scheb 文件的创建者、来源以及幕后主使。然而，由于黑客技术的复杂性和隐蔽性，完全追踪幕后主使可能非常困难。如果你怀疑系统被感染，建议立即采取措施隔离受影响的主机，并寻求专业的安全团队帮助。