太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    Linux watchdogs 感染性隐藏挖矿病毒入侵还原录

    来源:本站整理 作者:佚名 时间:2019-02-23 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、背景
    近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。(对此,腾讯云安全团队第一时间发布了病毒预警——预警 | 中招 watchdogs 感染性挖矿病毒,如何及时止损?)
    相较于过去发现的挖矿病毒,这次的挖矿病毒隐藏性更高,也更难被清理。服务器被该病毒入侵后将严重影响业务正常运行甚至导致奔溃,给企业带来不必要的损失。
     
    二、脚本分析
    首先,可以直接从crontab任务中看到异常的任务项:

    该crontab任务实现从 hxxps://pastebin.com/raw/sByq0rym 下载shell脚本并执行,shell脚本内容为:

    该脚本实现从 hxxps://pastebin.com/raw/tqJjUD9d 下载文件,文件内容为经过base64编码处理;

    base64解码后为shell脚本,shell脚本主要功能如下:
    1. 修改环境变量,将常见的可执行文件目录添加到系统路径中,确保脚本中的shell命令正常执行;同时再次覆写crontab任务。

    2. 清理其他恶意程序,如“kworkerds”,“ddgs”等挖矿程序;同时通过chattr -i等命令解锁和清理相关系统文件

    3. 根据系统信息下载对应恶意程序执行;黑客主要通过将恶意程序伪装成图片上传hxxp://thyrsi.com图床站点,shell脚本下载hxxp://thyrsi.com/t6/672/1550667515×1822611209.jpg保存为/tmp/watchdogs文件,赋予可执行权限后执行该恶意程序;

    4. 再进一步横向扩展感染,检查本地 ssh 凭证,遍历/root/.ssh/known_hosts文件中的IP地址,利用默认公钥认证方式进行SSH连接,执行恶意命令横向扩展感染;

    5. 最后清空系统日志等文件,清理入侵痕迹。

    通过bash脚本我们可以得知关键文件为其中的watchdogs文件。
    进一步通过top命令未见异常进程,而CPU空闲率为100%,但又明显感觉到机器运行迟缓。

    进一步通过vmstat进行确认,可以发现CPU使用率95%以上,由此可以推断存在隐藏进程,并且hook了相关readdir 等方法,具体案例我们在以前的文章已经做过分析。
    安全研究 | Linux 遭入侵,挖矿进程被隐藏案例分析

    进一步分析watchdogs文件,可以清楚看到病毒释放了/usr/local/lib/libioset.so的动态链接库并将路径写入/etc/ld.so.preload来实现了进程的隐藏,与我们上面的推测是一致的。具体可见样本分析部分。
    三、样本分析
    样本 watchdogs
    主要功能:
    1.获取当前进程id,写入/tmp/.lsdpid文件

    2. 拷贝 /tmp/watchdogs至/usr/sbin/watchdogs路径,并将watchdogs添加至启动项及服务项


    3. 释放libioset.so文件至/usr/local/lib/libioset.so,并将该so文件路径写入/etc/ld.so.preload,同时删除/usr/local/lib/libioset.c文件

    4. 访问ident.me获取机器IP

    [1] [2] [3]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载