暴力破解、写入ssh公钥留后门、植入GPU挖矿程序--placi脚本分析

于 2024-06-03 18:09:58 发布
阅读量1k 收藏 5
点赞数 16
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44727454/article/details/139421273
版权

脚本头

定义变量

#user 、pass 、gilimea 、sshkey变量

使用awk或者直接cat查看/etc/passwd 文件内容,  awk -F “:” ‘$3==0{print$1}’ /etc/passwd  查看管理员用户,发现上述脚本中出现的用户

# facuser()

在木马脚本中找到创建sclipicibosu的代码段

判断/etc/passwd中是否存在sclipicibosu用户,如果不存在,则创建用户和密码并添加sudo权限,sclipicibosu为超级用户

locationperfection()和getingmineru()

locationperfection()

# tinlex=$(pwd)  将当前目录记录到变量tinlex中

# mkdir /var/tmp/.ladyg0g0/  >/dev/null 2>&1 创建目录隐藏.ladyg0g0

# echo $tinlex > “/var/tmp/.ladyg0g0/.pr1nc35” 将变量tinlex写入.pr1nc35文件中

# if 判断是否存在/usr/bin/.locationesclipiciu,如果不存在创建并写入变量tinlex

此木马文件在/home/zyr下,所以pwd结果为/home/zyr

查看/var/tmp/.ladyg0g0/.pr1nc35文件

查看/usr/bin/.locationesclipiciu 文件

getingmineru()

# locatie=”$(cat /var/tmp/.ladyg0g0/.pr1nc35)” 所以locatie变量值为/home/zyr

后面的if 语句就是判断在/home/zyr下是否存在ethminer,如果没有就下载

微步判定下载地址为恶意

sshkiller()

# if 创建目录

# 第一个echo 将双引号中的内容写入到/usr/bin/.SQL-Unix/.SQL/.db文件中

查看/usr/bin/.SQL-Unix/.SQL/.db文件内容

# alias kill=’printf “”’ 这样执行kill就会输出为空,可以使用unalias 命令  删除

# 第二个echo 将单引号中的内容写入~/.bashrc文件中,查看文件内容

向~/.bash_profile写入if语句判断~/.bashrc文件是否存在

如果存在

# chattr -i 使目录.ssh和文件authorized_keys解锁,进入可编辑的状态,将变量sshkey的内容写入到文件authorized_keys中,chmod设置权限,最后上锁。

如果不存在

#执行红框内容(tips:不止图片上的内容,太长了截不全,内容跟之前写入内容大致一样)

#minerinio()

# 定义变量locatie,值为/home/zyr

# 判断/home/zyr存在或不存在.b4nd1d0文件,并写入单引号中的内容

查看b4nd1d0文件内容

# pgrep -x ethminer 判断是否存在ethminer进程,如果不存在则启用。

#crontablegend()

# 定义变量locatie,值为/home/zyr

# if语句判断是否存在.placi定时任务,不存在则创建

# rm -rf 最后删除了这个文件。

# 可以通过#crontab -l 查看定时任务

下图是命令调用顺序以及,终端输出内容

checkingpid()、killingstrangers()、pisamsystemu()

# killingstrangers()和pisamsystemu()感觉写的有问题,或者可能我自己没理解,就不记录了。

# 后面这三个自定义函数和最后的if内容大概就是对前面运行进程所产生的文件做一个检查。

#checkingpid()

# if语句判断是否存在/usr/bin/.pidsclip文件,并向其写入内容

# $! :Shell最后运行的后台Process的PID(后台运行的最后一个进程的进程ID号)

# 判断是否存在ethminer,不存在则运行.b4nd1d0

最后判断是否需要执行killingstrangers()、pisamsystemu()、checkingpid

所以,根据上述内容和函数运行顺序,可做出判断如下:

#locationperfection()

产生目录/var/tmp/.ladyg0g0

产生文件/var/tmp/.ladyg0g0/.pr1nc35

产生文件/usr/bin/.locationesclipiciu

#getingmineru()

下载了ethminer挖矿程序

#facuser()

创建了超级用户

#sshkiller()

产生了目录/usr/.SQL-Unix

产生了目录/usr/.SQL-Unix/.SQL

产生了文件/usr/.SQL-Unix/.SQL/.db,并重写了.bashrc文件

Tips:~/bashrc:为每一个运行bash shell的用户执行此文件.当bash shell被打开时,该文件被读取。

#crontablegend()

创建了定时任务

#minerinio()

产生了文件/home/zyr/.b4nd1d0

1、删除上述产生的文件、目录和程序

2、删除定时任务

3、通过unalias解决常用命令执行为空的问题(.db文件中allias)

4、恢复.bashrc文件 cp /etc/skel/.bash*  /root/

5、删除木马文件创建的超级用户和写入的公钥

6、恢复被更改的文件

windows使用ssh-copy-id命令的解决方案
weixin_43178406的博客
04-22 6万+
本文主要介绍了windows使用ssh-copy-id命令的解决方案,希望能对使用windows的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 方案一 2.2 方案二
渗透测试模拟实战——暴力破解写入ssh公钥后门植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解写入ssh公钥后门植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
ssh写入公钥
qq_43583125的博客
10-21 291
win2016的gitbash写入ssh root @10.9.75.215。win7:攻击者主机,需要把自己的公钥写到受害者服务器的.ssh目录下。kali:模拟受害者服务器,需要ssh服务开启,有自己的公钥私钥。下面相当于通过命令执行漏洞写入公钥
一次真实的应急响应案例(Ubuntu)——暴力破解写入ssh公钥后门植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 8964
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
一次真实的应急响应案例(Ubuntu)——暴力破解写入ssh公钥hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
生成/添加SSH公钥
hzxOnlineOk的博客
11-11 1054
生成/添加SSH公钥 SSH KeySSH 公钥 Gitee 提供了基于SSH协议的Git服务,在使用SSH协议访问仓库仓库之前,需要先配置好账户/仓库的SSH公钥。 你可以按如下命令来生成 sshkey: ssh-keygen -t rsa -C "xxxxx@xxxxx.com" # Generating public/private rsa key pair... 注意:这里的xxxxx@xxxxx.com只是生成的 sshkey 的名称,并不约束或要求具体命名为某个邮箱。 现...
SSH暴力破解的应急响应实战案例
weixin_39096432的博客
12-17 1677
SSH暴力破解的应急响应实战案例 事件的起因: 在管理员的某次巡查时发现,22端口存在异常连接的IP。使用命令查看22端口的连接情况: netsatat -anpl | grep 22 跟踪排查思路: 一、排除系统账户情况 1、除了root之外是否还有其它具有特权的的用户(uid为0): awk -F: ‘$3==0{print $1}’ /etc/passwd 2、可以远程登录的账户 awk ‘/$1|$6/{print $1}’ /etc/shadow 普通用户是没有权限的 二、确认攻击情况 1
GPU服务器中挖矿病毒-查杀-分析-预防
qq_40156289的博客
09-17 3390
1. 确认是挖矿病毒 使用命令nvidia-smi发现GPU被root用户(也可能是普通用户)大量占用,体现形式为:显存占用率不一定为100%,但GPU使用率为100%。 使用命令 top(htop) 发现CPU使用率非常高,将近100%。(注意此处可能看到很多以root用户运行的程序,但大多数可能是系统默认程序。) 使用上述两个命令,可以发现CPU和GPU均被大量占用,此时我们利用nvidia-smi命令查看运行程序的PID进程号,并尝试通过kill的方式结束进程,若发现kill后会重启,并且
通过ssh密钥登录服务器
l1727377的博客
09-20 1778
现在root用户已经生成了.ssh的隐藏文件,文件内有两个密钥文件;其中 id_rsa 为密钥文件,id_rsa.pub为公钥文件。1.首先将本地的id_rsa 私钥文件放在 本地用户的.ssh文件夹内。进入.ssh目录将公钥文件写入authorized_keys 文件中。选择公钥,继续点击“浏览”,将私钥导入。将.ssh下的id_rsa下载到本地。id_rsa私钥文件已经下载到本地。可以看到无需密码就可以进入服务器。2.进入命令框远程链接服务器。在ssh的配置文件中更改设置。完成配置重启ssh服务。
ssh 公私钥(github)
最新发布
鲨鱼儿的博客
03-28 5758
生成自定义名称的SSH公钥和私钥对,需要使用ssh-keygen命令,这是大多数Linux和Unix系统自带的标准工具。下面,我会向你展示如何使用ssh-keygen命令来生成具有自定义名称的SSH密钥对。
SSH配置公钥私钥免密登录——windows to linux
我们好像在哪见过
03-26 3459
第二种级别(基于密钥的安全验证):你必须为自己创建一对密钥,并把公钥放在需要访问的服务器上。如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密钥进行安全验证。一路回车之后在$HOME/.ssh/下就可以看到两个文件id_rsa为私钥,id_rsa.pub为公钥。第一种级别(基于口令的安全验证):只要你知道自己帐号和口令,就可以登录到远程主机。需输入正确的密码(ssh-keygen -t rsa时设置的密码)才能导入。为谨慎起见,可先不关闭密码登录,要。
清理服务器挖矿木马病毒
Hatim98的博客
02-16 3633
假期远程办公,于是把服务器ip映射到了公网。不成想被人植入挖矿木马病毒,在此记录一下这次发现和解决的经历。
使用SSH密钥远程服务器
妖妖玖丿
04-13 2547
使用ssh密钥免密码登录linux服务器
服务器免秘钥登陆【ssh公钥都追加到authorized_keys】
zhaojiafu的博客
05-10 3345
文章目录1、先本地window生成一个ssh-key2、添加到服务器里面: 1、先本地window生成一个ssh-key 之前的一个文章:windows下生成ssh key详解 2、添加到服务器里面: 把生成的id_rsa.pub整行复制到: 追加到里面,一行一个机器。 /root/.ssh/authorized_keys ...
记一次 Debian 被黑,清理记录,唉
边学边用
01-10 4201
清理被黑的 Debian Linux 中的非法文件
root用户登录出现 -bash-4.2#
一颗学徒
01-05 1617
root用户登录出现 -bash-4.2# 在修复过.bashrc文件或者恢复过.bashrc后,仍然出现-bash-4.2#,那么有可能你的机器已经被入侵了,附上我遇到的这种情况,看看对你有没有帮助。 服务器入侵检查和处理 文章目录root用户登录出现 -bash-4.2#1、确认是否被入侵出现以下现象或存在以下目录2、威胁处理删除恶意脚本3、恶意脚本分析 1、确认是否被入侵 出现以下现象或存在以下目录 root用户登录出现 -bash-4.2# netstat 命令回显为空 检查系统用户
【记一次真实的挖矿病毒应急响应】
一纸荒芜的博客
03-25 5240
分享一起真实的挖矿病毒应急响应案例
Linux 添加ssh公钥
热门推荐
༺墨༒眉༻
07-27 6万+
1.添加A服务器公钥到B服务器 2.到A服务器输入命令ssh-keygen 一路回车 xubin@xubindeMBP:~$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/Users/xubin/.ssh/id_rsa): /Users/xubin/.ssh/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zker_WH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值