五一勞動節-服務器被入侵,異常進程沒法殺掉,隨機進程名

故事情節:服務器

    有一天在聚餐中,我有一個朋友和我說他的服務器上有有個異常的進程他一直在佔滿CPU在運行,我在一頓謙虛以後答應了他,有空登陸上他的服務器看一下具體狀況。 微信

    

    這一天正是五月一日,一年一度的勞動節來了,我在家裏閒着沒事幹在看某綜藝,這時手機響了,來了一條微信消息,看到他給我發來了倆張圖,忽然勾起了我心裏的好奇。 網絡

    就是以上三張圖,在proc目錄中的exe指向的文件已被刪除,我看到這裏,我好奇這個進程確定是被隱藏掉了。這時,我急中生智跟這位朋友要了root帳號密碼。登陸服務器用top命令一看,發現一個奇怪的進程在運行,我使用kill命令將其殺後,等了十來分鐘後,發現沒有被啓動,這時我和這位朋友說幹掉了,他問我是否是kill掉了,我說嗯,他又補充到,這個進程殺掉過段時間會起來的,我問他大概多久就會啓動,他說不清楚大概一天內確定會啓動。這時我慌了,若是是一天內才啓動,我還得明天才能看見,那實在沒辦法了。我又開始看個人綜藝了。架構

    沒過多久,我又看了一下,發現這個進程換了個名字又啓動了。還幹滿了CPU,就在這時,我在研究這個進程運行文件的時候發現:工具

    這個進程會連到一個韓國的服務器上,我訪問這個IP發現是一個正常的網站,沒有異常狀況。網站

    同時在查看運行目錄的時候,發現以下問題編碼

   發現運行文件的命令也沒有,同時運行目錄也被刪掉了。就在這時卡住了脖子,不知如何是好,這時忽然想起來一個定時運行的腳本。打開腳本是這樣的:加密

    

    發現這個腳本是base64編碼加密的,在網上找了一個解密的工具,進解密後發現這個是腳本spa

完整腳本如圖: 進程

    在下大概看了一下腳本內容,以下是執行一個臨時文件並賦予一個執行權限在執行完成後將其刪除,因此剛剛在看得時候發現執行的目錄下得文件報紅出現丟失的狀況

    最騷的是這裏,關鍵東西在這裏了。使用拼接組成一個URL進行下載病毒文件。經過一系列操做,先查看本地IP,又看了是我是誰,又看了機器的架構,還看了機器的主機名,同時還看了本地的網卡全部的IP。最關鍵的是把網絡這一塊搞成一個md5sum。在最後查看了定時任務並搞成了一個base64的字符串

    再往下就是下載腳本執行並添加定時任務了,有意思的是這個腳本的2017年的,至今還再用。到最後我取消了他全部權限,並改了名字,同時把定時任務將其刪除。

到此該病毒已被清理。

相關文章
相關標籤/搜索