水一篇挖矿清除记录

没有开场白&＃xff0c;直接步入正题

某日&＃xff0c;客户A部门反应&＃xff0c;B部门在爆破他们的服务器&＃xff0c;同时B部门反应A部门在爆破B部门服务器&＃xff0c;于是乎工程师进行现场查看排查&＃xff1b;

下图为A部门服务器当时的资源情况截图

跟进该进程&＃xff0c;查看一下它的进程列表

然后就被我给kill掉了这个进程&＃xff0c;并且在tmp目录下发现了相关的文件&＃xff1b;但是问题当然是没解决&＃xff0c;因为此次事件的流量出口很大&＃xff0c;甚至对网关造成了影响&＃xff0c;流量都阻塞了&＃xff0c;并且根据当时的反应&＃xff0c;此次事件是具备SSH爆破行为的&＃xff0c;下图为当时的服务器上的tmp目录&＃xff0c;发现的恶意脚本文件

他们具体有哪些作用&＃xff0c;我们稍后分析&＃xff1b;

而后去了客户B的部门&＃xff0c;并且听到了服务器要起飞的声音&＃xff0c;我毫不怀疑是不是风扇装服务器外卖它会飞起来。

然后查看了一下计划任务&＃xff0c;在计划任务里看到了恶意样本的一些运行情况&＃xff0c;好家伙&＃xff0c;22分钟跑一次&＃xff0c;并且在根路径下看到了对应的隐藏文件

查看样本信息&＃xff0c;发现是base64编码格式​

解码后&＃xff0c;发现也是乱七八糟的东西&＃xff0c;但是可以简单的看懂一些逻辑

可以看见&＃xff0c;首先是看了一下用户id并且看了一下etc/passwd文件而后裁剪了一部分做了个切片处理&＃xff0c;而后轮询DNS地址&＃xff0c;探测出网情况&＃xff0c;并访问多个tor地址并下载了什么东西&＃xff0c;将下载的文件进行了chmod操作&＃xff0c;还开启了socks5的9050端口&＃xff0c;似乎在传输或者是接收什么东西(看样子似乎是把用户的信息包括id、ip信息、计划任务等传上去了)&＃xff0c;而后将东西传进/tmp/.X11-unix等目录下

刚刚我们提到了.sshx文件&＃xff0c;该文件内容如下

其实这里面的文件&＃xff0c;ip文件是该服务器爆破的ip记录&＃xff0c;pw文件内容是口令密码&＃xff1b;r0-r8是一些其他服务的用户名&＃xff0c;功能应该是不仅仅是爆破ssh&＃xff0c;可能还会对mysql、sqlserver等服务进行爆破&＃xff0c;ss/ssh文件装的其实就是几个用户名&＃xff0c;图忘记截了

当然了不能忘记去查看常规的计划任务文件

该目录下内容如下&＃xff0c;该脚本为57分钟运行一次

最后要做的&＃xff0c;是按照该类似规则进行全盘查找

最后做的当然是把他们都删掉了&＃xff0c;凡是我看到chmod 777 的基本都被我删了&＃xff0c;​而后服务器重启数次&＃xff0c;并运行了一个礼拜左右&＃xff0c;发现问题没有再次出现&＃xff0c;问题解决。

​总结其实就是&＃xff0c;服务器出现挖矿事件的时候&＃xff0c;不仅仅需要清除病毒本体&＃xff0c;同时需要进行计划任务的查看&＃xff0c;重点关注tmp目录与etc目录下的各个计划任务文件&＃xff0c;基本可以解决问题