Home > Archives > 挖矿病毒实战

挖矿病毒实战

Publish:

找到域名背后真实的IP地址

1
2
3
4
5
6
7
8
9
10
11
12
C:\Users\baoguo>ping 872037.vps-10.com

正在 Ping 872037.vps-10.com [91.109.4.94] 具有 32 字节的数据:
来自 91.109.4.94 的回复: 字节=32 时间=203ms TTL=50
来自 91.109.4.94 的回复: 字节=32 时间=203ms TTL=50
来自 91.109.4.94 的回复: 字节=32 时间=204ms TTL=50
来自 91.109.4.94 的回复: 字节=32 时间=203ms TTL=50

91.109.4.94 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 203ms,最长 = 204ms,平均 = 203ms

针对IP进行监控

1
[root@localhost sbin]# iftop -n -P -F 91.109.4.94/95 -i enp2s0

通过IP抓取端口

1
2
3
4
5
6
7
8
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
[root@localhost ~]# netstat -nao | grep 91.109.4.94
tcp        0      1 192.168.10.64:22222     91.109.4.94:23          SYN_SENT    on (0.99/0/0)

通过端口抓取PID号

1
2
3
[root@localhost ~]# lsof -i:22222
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
bash    24460 mysql    4u  IPv4 535457      0t0  TCP 192.168.10.64:22222->872037.vps-10.com:telnet (SYN_SENT)

通过PID号查看进程

1
2
3
[root@localhost ~]# ps -aux | grep 24460
mysql    24460  299  0.1 381084 11488 ?        Sl   10:30 384:52 -bash                                                                                                                                                                                                                                                           -a cryptonight -o stratum+tcp://1533871198:23 -u linux.kernel.bugs@gmail.com -p x -t 3
root     25957  0.0  0.0 112648   956 pts/0    S+   12:38   0:00 grep --color=auto 24460

尝试全文搜索

1
[root@localhost ~]# grep -r "1533871198" /

在定时事务中过滤

1
2
3
4
5
6
7
[root@localhost cron]# cd ~
[root@localhost ~]# cd /var/spool/cron

[root@localhost cron]# ls
mysql

*/30 * * * * /var/tmp/". "/c

注意病毒目录的一些细节

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@localhost cron]# cd /var/tmp/". "/     注意这个点后面是有空格的
[root@localhost . ]# ll -a
total 4820
drwxr-xr-x.  2 mysql mysql      31 Mar 20 22:00 .
drwxrwxrwt. 15 root  root     4096 Mar 22 13:03 ..
-rwxr-xr-x.  1 mysql mysql   25424 Mar 20 21:07 c
-rwxr-xr-x.  1 mysql mysql 2979640 Mar  1 03:17 x
-rwxr-xr-x.  1 mysql mysql 1919887 Mar  1 04:33 xh
[root@localhost . ]# cd ..
[root@localhost tmp]# ll -a
total 12
drwxrwxrwt. 15 root   root     4096 Mar 22 13:03 .
drwxr-xr-x.  2 mysql  mysql      31 Mar 22 13:33 . 
drwxr-xr-x. 26 root   root     4096 Mar 22 09:30 ..
drwxr-xr-x.  2 abrt   abrt        6 Jul 20  2016 abrt

参考

  1. 关于服务被挖矿程序minerd入侵解决方法
  2. 阿里云服务器被挖矿minerd入侵的解决办法
  3. CentOS7安装redis被AnXqV挖矿程序入侵
  4. Redis 未授权访问缺陷可轻易导致系统被黑

声明: 本文采用 BY-NC-SA 授权。转载请注明转自: Ding Bao Guo