【黑客解密】记一次挖矿病毒分析
前言上午接到同事通知,有客户中了挖矿病毒,所以通过 ssh 登陆服务器检查,简单记录后遂有此文。 阶段一:从发现脚本到删除脚本
1、使用 ![]()
2、使用 ![]()
3、使用 ![]() ![]() 发现这个文件时我就比较干脆,结束进程,删除文件.但是没一会进程有出现了。 阶段二:从脚本再次出现到彻底清除
1、使用命令 ![]()
2、使用命令 ![]() 3、我比较直接,记录下来后直接删除,然后删除文件,结束进程。等待一会看看进程是否会再次启动。一段时间后发现挖矿脚本已经被清除。 ![]() 阶段三:脚本分析脚本下载地址:http://www.tionhgjk.com:8220/mr.sh 1、脚本内容一 ![]()
2、脚本内容二 ![]() 判断文件是否存在,如果存在就验证sustse文件的MD5值判断这文件是不是他的。如果不存在就给变量 DIR 赋值为”/var/tmp” ![]()
判断命令 3、脚本内容三 ![]() downloadIfNeed函数判断是否需要下载sustse文件,如果需要就调用 download 函数。 4、脚本内容四 ![]()
5、脚本内容五 ![]()
6、脚本内容六 ![]() 使用 crontab 创建定时任务。 查看sustse运行配置文件![]() 发现有一个 GitHub 地址,查看之后发现是门罗币的挖矿程序。查询tionhgjk.com的注册信息发现域名的注册日期是2018-10-06T19:45:40.00,但是没有找到更多信息。 至此结束! |
版权保护: 本文由lostCooky所发布,转载请保留本文链接: http://www.yemogege.cn/wzaq-stwz/515.html