某次魔铲挖矿应急响应分析 – 作者:G0mini

准备工作

1.VM中Ubuntu系统: 未来防止风扇狂转,设置CPU为最低。 设置快照。

2.魔铲样本: 主要针对Linux系统,会释放很多文件。

环境准备

1615601233_604c1e5157026870274ee.png!small

释放样本: 看出来有隐藏文件,go为他的运行文件。

1615601252_604c1e64dccdbcfb3033c.png!small

前言

接到客户反馈,cpu占用率过高,疑似被挖矿。需要去现场分析。

分析

事后分析发现一个有意思的现象, 普通用户和root所达到的效果不一样。

普通用户清除计划任务即可解决。 root用户清除更复杂一些。 都是因为当前用户等权限问题。

普通用户

确定程序–top

1615601342_604c1ebebc2d3c058ffba.png!small

查看网络连接 netstat -antp 显示pid。查看对应的程序名

1615601383_604c1ee7b32f9f1929262.png!small

查看到ip 微步查看,确定挖矿。

1615601398_604c1ef657b3a3cdbd654.png!small

根据进程名查看文件位置: ps -ef |grep bash 发现存在一个.go文件在执行bash。bash文件特殊没有直接找到。

1615601411_604c1f03cf94233e71ab5.png!small

对于挖矿程序,一般都是有守护进程,或者计划任务,这里尝试kaill掉。 kall -9 pid

1615601423_604c1f0f83853aae79a9a.png!small

查看计划任务:crontab -l

清除计划任务:crontab -r

1615601435_604c1f1b7b3b6009982b7.png!small

删除计划任务位置的文件。 挖矿竟然停止了。 是权限问题,相关的服务无法重启。文件也无法写入。

root用户

1615601497_604c1f59b79c1dc7eb18f.png!small

和普通用户的差别在于,kill掉之后重启启动的进程名会发生变化。

1615601510_604c1f667919406dfedb3.png!small

而且还在运行。

1615601523_604c1f73d5b1b074a5441.png!small

查看进程对应的文件。 ps-ef |gerp 进程名

1615601539_604c1f83d680d84dbfb09.png!small

在内存中查看进程。 ps: /proc文件系统下的多种文件提供的系统信息不是针对某个特定进程的,而是能够在整个系统范围的上下文中使用。可以使用的文件随系统配置的变化而变化. ls -la /proc/pid 发现已经被删除.(一般恶意程序都会删除自身,生成另外的服务。)

1615601566_604c1f9e7aaf297f4c002.png!small

接下来,先看看计划任务。存在计划任务。清除计划任务。 查看计划任务:crontab -l 清除计划任务:crontab -r

1615601597_604c1fbdbce4063195a8b.png!small1615601603_604c1fc3190d654a1c719.png!small

crontab 只会清除自身,不完全。 还需要查看/etc/cron.*目录下是否含有。

1615601615_604c1fcf45a1c305907ae.png!small1615601621_604c1fd5365f096ff5f5d.png!small

发现cron.*下面同时存在。需要一起删除。 使用root发现删除不被允许。不用想是ia权限问题。 lsatter 文件名 查看ia权限 charrt -ia 文件名。去掉ia权限 然后删除。

1615601667_604c2003a0ef30983e9c2.png!small1615601674_604c200a34affc70eb4a8.png!small

1615601678_604c200e9e3ec03d0cb82.png!small1615601704_604c202806c76827bc9af.png!small

解决ia权限后,为了更快速的进行操作。这里使用find | xargs 结合进行快速删除。 find /etc -name “pwnrig” 查看文件位置

1615601722_604c203aeb90b16c7ab51.png!small

find /etc -name “pwnrig” |xargs chattr -ia 把所有pwnrig文件ia权限去掉

find /etc -name “pwnrig” |xargs rm -rf 删除所有的pwnrig

find /etc -name “pwnrig” 重新查看一下,发现全部删除

1615601756_604c205c8e736b6c8e4b0.png!small

为了确定是否全部删除,随便进去一个cron.*去查看,发现已经删除掉。

1615601772_604c206c89eb71f161569.png!small

以上计划任务检查已经完成. 但是发现挖矿程序依然在运行。

1615601783_604c2077466fbc3274e94.png!small

猜想是否存在服务,在后台一直启动。 根据top 得到的pwnrig 去查看服务,该服务已经dead。 猜测服务名已经改变。

1615601803_604c208b5d707a94e9aa2.png!small

先解释一下: /lib/systemd/system/ (软件包安装的单元。对应的服务) /etc/systemd/system/(系统管理员安装的单元, 服务) Systemd 默认从目录/etc/systemd/system/读取配置文件。 但是,里面存放的大部分文件都是符号链接,指向目录/lib/systemd/system/,真正的配置文件存放在那个目录。
是否存在服务需要去/etc/systemd/system/去查看。 发现存在一个pwnrige.service 疑似就是挖矿程序。 不过比最开始的pwnrig 多了一个字母而已。

1615601840_604c20b0b8c890c758d4d.png!small

查看一下该服务状态为running

1615601867_604c20cb79dc9f1a2b575.png!small

同时去/lib/systemd/system/去查看。也发现一个pwnrigl.server的服务。

1615601884_604c20dc531998fa675fa.png!small

确定挖矿程序pwnrig所有的服务或者程序都进行了原名+一个字母的格式。 使用find查看,查看到以下文件。 find / -name “pwnrig*”

1615601908_604c20f46bb5bb86e24c8.png!small

同时关闭服务,发现挖矿程序停止运行。

1615601923_604c2103a73fc5ca76702.png!small1615601929_604c2109a43334c90310c.png!small

服务关闭后,继续查看。

1615601941_604c211573f40d53f4778.png!small

文件全部删除掉。 过程结束。 关于后续分析。看来一下网上也有相关的文章,这里就不赘述了。
关于魔铲的一次简单应急。

来源:freebuf.com 2021-03-13 10:30:28 by: G0mini

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论