原因是过年的时候给了这位同学在阿里云的服务器Redis弱密码中植入挖矿病毒的权限(好像没有密码),CPU长时间占用100%。登录到服务器后,首先使用Top命令检查CPU使用情况。
发现CPU利用率达到100%,但是没有高利用率的相关进程。想用apt安装一些软件辅助病毒检测,结果都报错。(之后证明真的是病毒。清洗后,apt可以正常使用。)
所以我决定手动试试。按时间顺序进入bin目录,我们找到了khugrepaged,修改时间是19年2月8日。恰好是CPU第一次100%的日子,也是阿里云发出预警的日子。
他下载了,通过VT查询,发现有很多CoinMiner报毒。使用IDA或Strings提取字符串,发现有一个UPX shell,然后使用upx -d命令在本地对其进行shell化。脱壳后,再次提取字符串。
发现了大量类似XMR(门罗币缩写)和挖矿池相关的字符串,无疑是挖矿软件。但是删除重启后,还是会重新创建。
这时,您可以使用类似的
找到。/-mtime 20-a-mtime 50-f型
此类命令用于检查哪些文件在某段时间内被修改过。(不过我这里没用这个方法。)
其实被重新创造是完全合理的。因为一般的挖矿软件都是开源程序,病毒只是给了他特定的参数给病毒作者挖矿。
这时候我首先要检查有没有调度的任务,通过crontab -l l检查所有调度的任务。
通过crontab -r r删除所有调度任务,我下载了调度任务中出现的2.jpg,发现其实是一个shell脚本。部分内容如下:
这个脚本的基本功能是关闭删除其他挖矿软件和病毒(没错这个病毒也帮你查杀23333)然后下载挖矿软件通过hxxp ://166 . 78 . 155 . 151/164/164运行。
然后喜欢上了,删了重启后又生成了。这时候我考虑先解决流程隐藏的问题。通过查阅一些资料。许多病毒被发现操纵/etc/ld.so.preload以便提前运行。
查看文件。
我们试图删除ld.so。预加载提示权限不足。
学会灵活运用。我在2.jpg的脚本里用过。我看到了很多chattr -i和chattr i的命令。请尝试使用chattr-id . so . preload,然后执行rm操作以成功删除它。其他不能用同样的令牌删除的病毒文件。
ld.so.preload文件指向/usr/local/lib/libftp.so,复制libftp.so并删除。
再次尝试运行top命令,发现可以正常显示。可以看到khugrepaged占了CPU的98%。
上传libftp.so到VT,报告给Proc。
esshider。很贴切的名字。对其进行简单的逆向分析。发现其Hook了readdir函数。并且发现了三个好玩的字符串。
khugrepaged是我们知道的挖矿程序,那么剩下两个呢。
通过 ps -aux| grep mdmisc 和 ps -aux| grep scsitgtd
看到了这两个文件的所在位置。使用 ls -al 列出隐藏文件。将mdmisc拷贝后删除。但是scsitgtd,bin目录下并没有找到。
我们先对mdmisc进行简单分析。字符串提取。
基本可以确定,khugrepaged就是他释放出来的。然后还修改了DNS等等的操作。
其中的一串命令如下
chattr -i /etc/init.d/mdmisc;rm -f /etc/init.d/mdmisc /etc/rc2.d/S20mdmisc/etc/rc3.d/S20mdmisc /etc/rc4.d/S20mdmisc /etc/rc5.d/S20mdmisc;
查看其中的一个内容如下:
这个是用来启动mdmisc的。把这里相关的文件也进行删除。
真正让人值得注意的是
chmod +x /bin/scsitgtd; /bin/scsitgtd; rm -f /bin/scsitgtd;
这句话。修改为可执行,运行后删除,这也就是为什么我们可以在进程中看到他,但是不能找到他的原因了。
对这个字符串做交叉引用,看是从哪里下载下来的。
可以看到是通过yxarsh.shop/165下载的。
我们请求一下,果然下载到了。upx脱壳后,IDA打开。
这是添加定时任务的代码逻辑:
主要功能逻辑:
*本文作者:xuing&吾爱破解
