吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4633|回复: 11
收起左侧

[PC样本分析] DDG挖矿病毒排查总结

  [复制链接]
Joejb 发表于 2023-9-1 10:39
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

DDG挖矿病毒排查总结

  • 这篇文章第一次上传时为了测试只转了部分图片,太久了改不了了。最近有空把所有图片都转了!

0、本次爆破

参考链接1
参考链接2

  • 挖矿程式使用Haiduc……

  • 目录 /tmp/.md/

  • 脚本

  • 字典文件


  • 爆破记录

  • 内网主机banner

  • haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。

  • 目录中存在字典文件、爆破记录

1、计划任务下载 i.sh shell 脚本

  • 黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本

  • 该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程

  • 生成的重要恶意文件 例:

2、ddgs母体

  • 自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备

3、处置

1、删除计划任务

2、删除用户
01.确认用户不存在进程

02.删除用户
userdel -r -f username
# -r 删除用户家目录及其中的文件和邮件目录
# -f 强制删除

3、删除挖矿目录
  • 挖矿目录

  • 删除

    4、删除爆破目录
  • 爆破目录

  • 删除

    5、删除其他病毒文件
  • 所有病毒文件除爆破和挖矿外均在test和test1用户目录下

6、删除排查过程中装的软件及文件
Tip
  • 本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。

免费评分

参与人数 5吾爱币 +10 热心值 +5 收起 理由
renhe + 1 + 1 我很赞同!
snowhee + 1 我很赞同!
mae + 1 + 1 用心讨论,共获提升!
jackzlf + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ztqddj007 发表于 2023-10-17 08:04
大神 正缺这个
wanglaoban777 发表于 2023-9-6 17:42
感觉生成的恶意文件,只根据名字判断是不是恶意的话,很难识别啊
Hmily 发表于 2023-9-6 10:19
Joejb 发表于 2023-9-6 09:39
不是,是一张一张传太麻烦

可以批量上传,然后插入到正文。
 楼主| Joejb 发表于 2023-9-6 09:39
Hmily 发表于 2023-9-1 11:05
这次直接用图床了,上传图片遇到啥问题了吗?

不是,是一张一张传太麻烦

点评

可以批量上传,然后插入到正文。  详情 回复 发表于 2023-9-6 10:19
yumic114 发表于 2023-9-3 11:59
学习了,谢谢大佬分享
二小 发表于 2023-9-2 16:12
谢谢,我电脑好像没事
airqi 发表于 2023-9-1 16:55
给大大点赞👍
头像被屏蔽
hackerSQL 发表于 2023-9-1 16:18
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表