当前位置:首页 > 黑客技术 > 正文内容

某次魔铲挖矿应急响应分析

访客4年前 (2021-04-13)黑客技术832

准备工作

1.VM中Ubuntu系统: 未来防止风扇狂转,设置CPU为最低。 设置快照。

2.魔铲样本: 主要针对Linux系统,会释放很多文件。

环境准备

释放样本: 看出来有隐藏文件,go为他的运行文件。

前言

接到客户反馈,cpu占用率过高,疑似被挖矿。需要去现场分析。

分析

事后分析发现一个有意思的现象, 普通用户和root所达到的效果不一样。

普通用户清除计划任务即可解决。 root用户清除更复杂一些。 都是因为当前用户等权限问题。

普通用户

确定程序--top

查看网络连接 netstat -antp 显示pid。查看对应的程序名

查看到ip 微步查看,确定挖矿。

根据进程名查看文件位置: ps -ef |grep bash 发现存在一个.go文件在执行bash。bash文件特殊没有直接找到。

对于挖矿程序,一般都是有守护进程,或者计划任务,这里尝试kaill掉。 kall -9 pid

查看计划任务:crontab -l

清除计划任务:crontab -r

删除计划任务位置的文件。 挖矿竟然停止了。 是权限问题,相关的服务无法重启。文件也无法写入。

root用户

和普通用户的差别在于,kill掉之后重启启动的进程名会发生变化。

而且还在运行。

查看进程对应的文件。 ps-ef |gerp 进程名

在内存中查看进程。 ps: /proc文件系统下的多种文件提供的系统信息不是针对某个特定进程的,而是能够在整个系统范围的上下文中使用。可以使用的文件随系统配置的变化而变化. ls -la /proc/pid 发现已经被删除.(一般恶意程序都会删除自身,生成另外的服务。)

接下来,先看看计划任务。存在计划任务。清除计划任务。 查看计划任务:crontab -l 清除计划任务:crontab -r

crontab 只会清除自身,不完全。 还需要查看/etc/cron.*目录下是否含有。

发现cron.*下面同时存在。需要一起删除。 使用root发现删除不被允许。不用想是ia权限问题。 lsatter 文件名 查看ia权限 charrt -ia 文件名。去掉ia权限 然后删除。

解决ia权限后,为了更快速的进行操作。这里使用find | xargs 结合进行快速删除。 find /etc -name "pwnrig" 查看文件位置

find /etc -name "pwnrig" |xargs chattr -ia 把所有pwnrig文件ia权限去掉

find /etc -name "pwnrig" |xargs rm -rf 删除所有的pwnrig

find /etc -name "pwnrig" 重新查看一下,发现全部删除

为了确定是否全部删除,随便进去一个cron.*去查看,发现已经删除掉。

以上计划任务检查已经完成. 但是发现挖矿程序依然在运行。

猜想是否存在服务,在后台一直启动。 根据top 得到的pwnrig 去查看服务,该服务已经dead。 猜测服务名已经改变。

先解释一下: /lib/systemd/system/ (软件包安装的单元。对应的服务) /etc/systemd/system/(系统管理员安装的单元, 服务) Systemd 默认从目录/etc/systemd/system/读取配置文件。 但是,里面存放的大部分文件都是符号链接,指向目录/lib/systemd/system/,真正的配置文件存放在那个目录。
是否存在服务需要去/etc/systemd/system/去查看。 发现存在一个pwnrige.service 疑似就是挖矿程序。 不过比最开始的pwnrig 多了一个字母而已。

查看一下该服务状态为running

同时去/lib/systemd/system/去查看。也发现一个pwnrigl.server的服务。

确定挖矿程序pwnrig所有的服务或者程序都进行了原名+一个字母的格式。 使用find查看,查看到以下文件。 find / -name "pwnrig*"

同时关闭服务,发现挖矿程序停止运行。

服务关闭后,继续查看。

文件全部删除掉。 过程结束。 关于后续分析。看来一下网上也有相关的文章,这里就不赘述了。
关于魔铲的一次简单应急。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106361.html

分享给朋友:

“某次魔铲挖矿应急响应分析” 的相关文章

天猫双十一活动什么时候开始华流

以前提到双十一那都是光棍才过的节日,而现在双十一摇身一变成了全民购物狂欢节。在双十一期间以淘宝天猫为主的购物平台都会推出各种优惠活动以及满减折扣,可以算得上是全年最便宜的时候了。那么天猫双十一活动什么时候开始呢?下面就跟百思特小编来详细了解一下2020年天猫双十一开始时间吧!...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

Webshell安全检测篇

0x00 依据流量的检测办法 1.概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分...

二手退役62军用望远镜(二手60倍望远镜转让)

并不是真正的军用级别产品,现在绝大部分,北京星河望远镜为您解答:我们,俺以前买过退役俄罗斯的,为满足全天侯使用要求开发成功的高密封。 需要望远镜。早期的军用望远镜,长时间看不头晕.平常旅游观景、如今已经推出军队服役,不会存在,尽管现在的光学技术水平有了很大提高。 宽带增透绿膜镜头,62式8X30望远...

如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗)

一、如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗) 1、有黑客能查到微信聊天记录是骗人的吗绝对是骗子,请勿相信! 微信聊天信息保存在本地 一般聊天信息都是保存在本地的,除非开通会员可以将聊天信息存储。 黑客查找出来的微信聊天截图是真的吗在手机端启动微信,在微信主界面底部导航中点击“微信”...

Qq邮箱被黑客攻击怎么办,网络游戏提款难找黑客,电脑被黑客入侵修改开机密码

self.python_version = int(str(entry.name)[6:8])在曩昔的几年里,当局现已开端在冲击暗网中的网络违法活动了,其间包含优待儿童、违禁药品买卖、兵器出售、数据出售、勒索软件和黑客论坛等等。 近年来,大型网络违法商场逐步式微,尤其是在欧洲和美国当局在上一年打掉了...

评论列表

痴者寻倌
3年前 (2022-05-30)

-l清除计划任务:crontab -r删除计划任务位置的文件。 挖矿竟然停止了。 是权限问题,相关的服务无法重启。文件也无法写入。root用户和普通用户的差别在于,kill掉之后重启启动的进程名会发生变化。而且还在运行。查看进程对应的文件。 ps-ef |gerp 进程

孤鱼野の
3年前 (2022-05-30)

rt -ia 文件名。去掉ia权限 然后删除。解决ia权限后,为了更快速的进行操作。这里使用find | xargs 结合进行快速删除。 find /etc -name "pwnrig" 查

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。