linux挖矿木马systemdMiner分析 bash下载执行模块

最新推荐文章于 2024-08-18 16:55:32 发布
最新推荐文章于 2024-08-18 16:55:32 发布
阅读量3.1k 收藏 9
点赞数
原文链接:https://www.freebuf.com/articles/system/225146.html
版权

近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。

感染现象

被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符:

查看进程对应的可执行文件,是以一串疑似MD5的字符命名(并非文件真实MD5),但已经被删除:

通过crontab –l命令可以看到可疑的定时任务:

定时任务对应的sh脚本内容为base64编码过的命令:

病毒母体-int

该ELF文件是作为病毒的母体和守护进程,运行后会将自身进程名重命名为一个随机的字符串:

删除自身对应的可执行文件:

解码并创建目录/tmp/.X11-unix,检测目录中是否存在00文件,该文件是用于记录进程的pid:

创建子进程:

通过setsid,将子进程脱离当前会话并且创建新的会话

并将新的会话进程ID写入/tmp/.X11-unix/00文件:

执行base64编码的bash命令,共有5个不同的bash命令,分别用于下载不同模块和执行不同的功能:

bash-01 本机持久化

解码后的内容如下,功能是用于创建定时任务.xzfix.sh:

定时任务的内容解码后如下,功能为下载int文件:

bash-02 内网传播

主要功能为下载脚本卸载安防产品(其中阿里云的安骑士、腾讯云的云镜等产品):

下载可执行文件trc和bot:

其中trc文件用于Hadoop Yarn未授权访问漏洞利用,运行时会将自身进程ID写入/tmp/.X11-unix/2文件中:

获取当前所有的节点,并且对本地网络进行漏洞攻击

其漏洞执行命令如下,该命令会下载病毒程序hd进行进一步感染:

除漏洞利用外,该挖矿木马还会通过ssh暴力破解进行内网传播:

利用运维工具(ansible、knife、salt)对内网服务器进行批量感染,利用ssh远程执行命令,命令通过base64解码后是下载病毒母体int:

bash-03 竞争对手清理

清除服务器上其他的挖矿木马,改写hosts文件让其他挖矿无法访问对应的域名,以达到独占的目的:

bash-04 下载挖矿

下载可执行文件cpu:

该文件为挖矿程序:

bash-05 状态控制

下载cmd脚本:

cmd脚本中的命令功能是当主机网络无法连接到矿池时,会结束掉自身的挖矿进程,增强隐蔽性:

解决方案

1. 服务器使用复杂密码,且避免与其他密码重复;

2. 如无必要,不要将接口开放在公网,改为本地或者内网调用;

3. 升级Hadoop到2.x版本以上,并启用Kerberos认证功能,禁止匿名访问;

4. 清理随机字符名的可疑进程和高CPU占用进程;

5. 清理恶意定时任务,删除/tmp/.X11-unix目录。

 

whatday
关注
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 699
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
Linux木马清理记录
qaf910278020的博客
04-17 283
半夜阿里云短信提示有文件异常下载。早上登录阿里云一看,全是安全警告消息:服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:XX)的访问服务器被入侵,并当做肉鸡了...登录服务器发现cpu占用量大的进程,很不对经病毒文件名:2t3il.p、ddgs.3011 (一看就不是什么正经的进程名,ddgs.3011是后来发现的)find / -name 2t3il.p 查找文件所在路径,发...
Linux 系统被注入挖矿程序解决过程
索性流年的博客
05-18 508
前言 今天,公司的三天服务器莫名其妙的就报警了,用 top -c命令看了下,发现一个名为.nvda 的程序映入眼帘 我的第一反映就是英伟达显卡,可这台服务器是虚拟机,都没装显卡,这是什么情况?我这边也没用用的显卡的地方,也没多想便使用 kill -9想将这个进程杀死,可是根本无效,下一秒,这个东西又重启了 出于本能反应,便将数据库做了个备份,将服务转移到我本地,因为项目还在测试阶段,所以也没太担心 接着便到root 目录下用ls -alh查看这个文件 用rm -rf命令把这个文件删了,在用 kill -9
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
最新发布
网络安全领域___专研者.
08-18 810
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
挖矿木马简单分析
AlwaysBetter
07-27 1599
#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如不可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,不允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,不允许删除 # -iua 和 + 相反 去除文件
Linux Miner从受感染的系统中删除竞争恶意软件
weixin_33953249的博客
02-13 95
趋势科技的研究人员最近观察到针对Linux机器的挖矿软件可以从受感染的系统中删除大量其他恶意软件家族。该威胁借用以前看到的恶意软件(如Xbash和KORKERDS)代码,将加密货币挖掘代码安装到受害机器上,并通过将自身植入系统和crontabs来实现持久性。作为***内容的一部分,初始脚本将提供给目标,以删除大量已知的Linux恶意软件,挖矿软件以及与其他矿工服务和端口的连接...
SystemMiner挖矿病毒处理记录
萧洋
02-16 496
SystemMiner挖矿病毒处理记录
处理服务器上的挖矿木马小记
qq455980324的博客
11-14 2319
文章目录处理服务器上的挖矿木马小记挖矿木马发现挖矿程序定位(失败)异常用户排查挖矿程序定位(成功)挖矿木马分析解决木马的方法 处理服务器上的挖矿木马小记 参考: https://zhuanlan.zhihu.com/p/405165722 https://www.modb.pro/db/107110 挖矿木马发现 通过nvidia-smi发现异常占用程序python36 nvidia-smi 挖矿程序定位(失败) 通过ps命令获取进程相关信息 ps -ef | grep python3
linux bash 取得命令执行的结果,LinuxBash特性之:命令的执行结果以及状态结果...
weixin_29197051的博客
05-16 2310
linux中的命令执行的状态结果:bash通过状态返回值来输出此结果:成功:0失败:1-255命令执行完成之后,其状态返回值保存于bash的特殊变量$?中;命令正常执行时,有命令的返回值:根据命令及其功能不同,结果各不相同;引用命令的执行结果(命令结果):$(COMMAND)或COMMAND (反引号)例如: ll /tmp/ 命令运行后返回的结果为命令的执行结果,命令执行成功后的状态结果返回在特...
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2506
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
linux shell入门之bash启动脚本
蛐蛐的博客
10-17 1491
1.简介 当linux系统的运行级别为3时,用户可以从本地登陆到系统控制台 当运行级别为5时,直接以图形界面方式登陆 用户登陆时,bash将会使用以下初始化文件和启动脚本 /etc/profile:系统级的初始化文件,定义了一些环境变量,由登陆shell调用执行 /etc/bash.bashrc或/etc/bashrc:文件名随着不同的linux版本而不同,每个交互式shell的系统级启动脚本 /etc/bash.logout:系统级的登陆shell清理脚本,当登陆shell退出时执行。..
警惕Linux挖矿木马SystemMiner通过SSH爆破入侵攻击
苦逼码农的博客
03-05 2552
近日某企业Linux服务器出现卡慢,CPU占用高等现象,腾讯安全专家通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。 一、概述 近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定...
SystemedMiner再次更新,使用Socket5中转访问C&C
systemino的博客
04-10 519
0x0 概述 最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-命名而得名,但慢慢的,它们开始弃用systemd的命名形式,改为了随机名。 深信服安全团队通过C&C域名、脚本、定时任务等特征确认该病毒为SystemdMiner最新变种,本次变种的不同点在于更新了C&C域名及连接C&C域名的方...
Linux服务器kdevtmpfsi挖矿病毒解决方法:治标+治本
热门推荐
Cupster
02-25 4万+
问题描述 Linux服务器(包括但不限于CentOS)出现名为kdevtmpfsi的进程,占用高额的CPU、内存资源; 并且单纯的kill -9 进程ID 例:kill -9 23455无法完全杀死,不久便会复活; 同2.理杀死 kdevtmpfsi的守护进程kinsing,一小段时间又会出现这对进程; 找到并删除这2个进程对应的可执行文件例:find / -name kinsing,一小段时......
linux编译怎么选择cpu,使用cpuminerLinux系统中用CPU挖矿
weixin_42547335的博客
05-02 1008
所用的Linux系统是Ubuntu 16.04 LTS 64位版本,以下是使用cpuminerLinux系统中用CPU挖矿的基本步骤。1.注册账号先到MinerGate注册账号,然后到这里就可以看到分配到的采矿地址,但是有了挖矿路径,怎么挖呢?请看下面解析。2.挖矿工具这里推荐tpruvot/cpuminer-multi作为 CPU 挖矿的工具,MinerGate 推荐的是 OhGodAPet/...
通过逆向分析防御挖矿病毒
任飞
11-21 1202
转载于:https://www.freebuf.com/articles/network/163233.html 前言: 因为这次是从应急响应引出的,所以我将侧重点放在分析病毒本身的存储方式和传播途径,靠逆向分析出防护策略用于帮助后续的应急响应/系统加固/运维。 情况概述: 最近接到用户的应急响应请求,用户的描述是服务器从前2天开始不定时重启。抵达现场初看没发现什么端倪,杀毒软件没有报毒,...
Linux系统下用shell脚本病毒感染其它linux脚本程序
C/C++攻城狮
09-12 3320
1.前言这篇文章算是通过学习网上其它几篇关于shell脚本病毒文章后自己写的学习心得,通过写这篇文章让自己能够加深理解一下相关知识。但是其实下面用到的shell脚本病毒的现实意义不大,但是对于理解病毒传播的机制有一定的作用,仅作为参考而已。2.脚本代码及感染步骤1)首先建立一个空文件,命名以.sh结尾,例如:virus.sh。然后打开该文件输入如下代码:#!/bin/bash #B:<+!a%C&t
-bash这样的木马,你遇到过没?
sqlora的专栏
06-15 5849
第一次遇到如此难搞的病毒木马-bash。 # cat /etc/redhat-release CentOS release 6.7 (Final) # ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 进程和文件清除后,总是会自动起来,然后占用50%的CPU netstat-ano|more 用到的命令: sar 1 10 top lsof -p 进程号 ,可以看关联了哪些进程及和那里通信,这里看到会去请求这个外部...
通过命令下载执行恶意代码的几种姿势
08-20 2万+
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。在目标主机执行恶意代码,可以分为上传/下载执行恶意代...
Linux初学者指南:Bash命令别名与重定向
bash学习手册,适用于入门级别的学习者,旨在帮助读者掌握bash shell的基础操作,包括别名定义、输入重定向和输出重定向等核心概念。” 在Linux系统中,bash(Bourne-Again SHell)是一种广泛使用的命令行解释器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值