好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 tony1990 于 2020-12-11 15:33 编辑
一、运维部报故障
故障现象:
使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。
在检测异常进程中,未发现CPU使用率异常的进程(使用 top、htop 以及 ps -aux 进行检查),于是报障。
二、检测过程:
1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载"procps-3.2.8"并编译,恢复top等系列命令
5.检测进程是否异常
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处
7.排查ssh登录日志
8.把ssh登录切换成秘钥登录
9.重启服务器,检查是否进程是否正常
三、排查处理过程
使用htop查看进程是否异常:
发现 /usr/bin/pamdicks 此文件运行CPU达到100%。
查看服务器进程
查看定时任务是否存在文件:
crontab -l
定时任务
清空定时任务并且分析木马脚本:
crontab -r
删除病毒定时任务
分析木马脚本:
第6行-第7行 给予权限并运行 pamdicks。
第12行-第20行 判断是Ubuntu系统还是Centos系统,并且安装软件
第22行-第28行 查看进程并终止进程
第29行-第34行 强制关闭进程
第35行-第48行 给木马文件加锁,禁止移动木马文件
第50行-第66行 远程下载木马文件
病毒下载及维持脚本
添加hosts防止二次下载:
echo -e "\n0.0.0.0 a.powreofwish.com" >> /etc/hosts
添加hosts文件防止二次病毒下载
检查进程是否正常:
查看异常进程的进程号
关闭进程:
kill -9 548
删除挖矿木马脚本应用:
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
pkill pamdicks
rm -rf /usr/bin/pamdicks
rm -rf /var/lib/cc
rm -rf /tmp/kdevtmpfsi
重启服务器,并且检测进程是否异常
最后服务器恢复正常。
挖矿病毒源码是加过壳的,正在解析中。 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2020-12-11 15:25
|
发表于 2020-12-11 15:35
