一次Linux挖矿病毒(tor2web)的处理过程 – 作者:yonyousec

1. 问题发现

1.1. 收到中毒告警邮件

四月某天收到机器中毒告警邮件,反馈为tor2web病毒

1624940713_60daa0a98e8cf332daf1d.png!small

1.2.  TOP查看资源使用

发现MDLGvlkk进程几乎把CPU占满了。这个进程名字随机,CPU资源占用超高,非常值得怀疑,符合挖矿程序高CPU占用的特点

1624602079_60d575df8cef44cf4d8a3.png!small

1.3. 查阅相关进程

查看该可疑进程(pid)的运行情况

#ps -ef | grep 8583

1.4. 查看进程运行环境

进入进程运行环境目录

#cd /proc/8583

查看目录下的文件信息

#ll

1624603324_60d57abc50fae8df963ff.png!small

发现可执行程序(/root/d1b5cfdc72618f839d5b3b5f05dfad7)已经被删除了

2. 查找线索

2.1.  查看定时任务crontab

病毒为了能常驻执行,一般都有定时任务,或者服务, 或者注入到某个文件/库中。

在crontab中找到如下线索,/root/.system-service.sh脚本文件非常可疑;脚本每隔5分钟执行一次

1624603818_60d57caa404c0c798cf57.png!small

2.2. 查看文件创建时间

查看.systemd-service.sh这个文件的时间属性;是在2021-04-25 14:32上传到机器上的

1624604286_60d57e7e75da38213e44b.png!small

2.3. 查看源码

查看.systemd-serivce.sh脚本内容;可以看到这个脚本先进行base64解码,然后执行。

1624604370_60d57ed20f4286d2d3db5.png!small

2.4.  base64解码

https://base64.us网站进行base64解码;这是解码后的脚本内容。我们把解码内容保存到tor2web.sh

1624940898_60daa16208b026729a462.png!small

2.5. 脚本分析

1624606345_60d58689d02d317d9b2e4.png!small

1624606359_60d5869717da64878cf83.png!small

1624606370_60d586a2710bab8c2b5d2.png!small

2.6. 采用云沙箱检查

脚本上传到微步云进行检查

1625743451_60e6e05b21f01d76b1e34.png!small?1625743452861

2.7. baidu搜索

.systemd-service.sh

1625743467_60e6e06b315ef7b6bfdaa.png!small?1625743469030

结合baidu搜索以及上述脚本分析,我们发现此病毒文件,保存在两个位置/root/.systemd-service.sh,/opt/.systemd-service.sh

3. 文件分析

3.1.  中间临时目录

通过上述tor2web.sh分析以及百度搜索;此病毒会在/tmp目录下,用到文件夹.X11-unix来保存临时信息

包含以下文件和文件夹

序号 名字 属性  作用
1 11 文件 病毒运行进程pid
2 01 文件 守护进程pid
3 22 文件 ssh爆破进程pid??
4 sshd 目录  ssh密码爆破相关信息

1624607090_60d589722b89250388dce.png!small

1624607221_60d589f5c561db33a854b.png!small

1624607398_60d58aa63f39cd74e513b.png!small1624607423_60d58abfbfcef0bfc2178.png!small

3.2. 临时目录文件内容分析

1624607567_60d58b4f0ce1ff1fd94a1.png!small

1624607621_60d58b85df6c4a67ee582.png!small

1624607669_60d58bb52e168f94c72b4.png!small

3.3.  git源码

https://github.com/tor2web/Tor2web.git

4. 问题处理

4.1. 删除定时任务

1624609028_60d59104c625857b21cdc.png!small

4.2. 删除脚本

#rm –f /root/.systemd-service.sh

#rm -f /opt/.systemd-service.sh

4.3. 杀进程,兄弟进程,父进程,祖先进程

1624609121_60d591616fe725e00271c.png!small

4.4. 修改操作系统密码

4.5. 系统重启

4.6. 创建免疫文件

1624608961_60d590c162f2883c2bed2.png!small

4.7. DNS解析到黑洞

分析tor2web.sh脚本,发现程序运行中,会请求一下6个域名;只要DNS服务器,把以下几个域名解析到黑洞,脚本就无法得到正确的IP地址,也就无法下载相关挖矿代码,当然也就不能正确执行。

1624609149_60d5917d3571dfc0e6ec6.png!small

5. 参考资料

https://my.oschina.net/u/4308764/blog/3273762

作者:yaojl  修订:steven

来源:freebuf.com 2021-06-30 09:20:33 by: yonyousec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论