記一次挖礦病毒分析
*本文作者:lostCooky,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載
前言
上午接到同事通知,有客戶中了挖礦病毒,所以通過 ssh 登陸伺服器檢查,簡單記錄後遂有此文。
階段一:從發現指令碼到刪除指令碼
1、使用 top 命令檢視系統執行情況,發現多個名為sustse的程序佔用 cpu 資源過高。
2、使用 whereis sustse 和 which sustse 命令查詢此命令位置,發現未找到。
3、使用 find / -name sustse 命令查詢檔案是否存在,此時找到檔案在/var/tmp/sustse下面,且同目錄下面有另外兩個檔案
發現這個檔案時我就比較乾脆,結束程序,刪除檔案.但是沒一會程序有出現了。
階段二:從指令碼再次出現到徹底清除
1、使用命令 ps -anx | grep sustse 檢視與sustse相關的程序。此時我就懵了為啥刪除了檔案,還會出現呢。突然想起來之前打 CTF 是用的一種利用定時任務啟動的後門。
2、使用命令 crontab -l 檢視是否有定時任務,發現裡面有這個一條。
3、我比較直接,記錄下來後直接刪除,然後刪除檔案,結束程序。等待一會看看程序是否會再次啟動。一段時間後發現挖礦指令碼已經被清除。
階段三:指令碼分析
指令碼下載地址: ofollow,noindex" target="_blank">http://www.tionhgjk.com:8220/mr.sh
1、指令碼內容一
結束部分程序,刪除一些檔案。具體目的沒有搞懂,這裡做個猜測會不會是之前版本的地址發生了變化,現在要幹掉這些;
刪除一些檔案。
2、指令碼內容二
判斷檔案是否存在,如果存在就驗證sustse檔案的MD5值判斷這檔案是不是他的。如果不存在就給變數 DIR 賦值為”/var/tmp”
3、指令碼內容三
downloadIfNeed函式判斷是否需要下載sustse檔案,如果需要就呼叫 download 函式。
4、指令碼內容四
download 函式判斷 sustse3檔案是否存在或者sustse3檔案的 MD5值是否符合,不符合或者檔案不存在就呼叫 download2;
download2函式,判斷系統是不是64位,如果是就從 http://www.tionhgjk.com:8220/tte2 下載,下載位置在/var/tmp/sustse;
驗證 sustse 的MD5值,如果 MD5值符合,就改名為sustse3。
5、指令碼內容五
judge 函式下載 http://www.tionhgjk.com:8220/wt.conf 到/var/tmp/wc.conf;
使用nohup 啟動 sustse,且在後臺執行;
judge2函式,使用nohup 啟動 sustse,且在後臺執行。
6、指令碼內容六
使用 crontab 建立定時任務。
檢視sustse執行配置檔案
發現有一個 GitHub 地址,檢視之後發現是門羅幣的挖礦程式。查詢tionhgjk.com的註冊資訊發現域名的註冊日期是2018-10-06T19:45:40.00,但是沒有找到更多資訊。
至此結束!
*本文作者:lostCooky,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載