国内365bet登录网址
设为首页 | 收藏本站
您所在的位置:主页 > 谁知道365bet网址 >

注册挖掘病毒的分析。

时间: 2019-03-16 04:51 作者:365bet用网址 来源:365bet体育在线网站 点击:
早上,我收到一位同事的警告说有些客户有采集病毒,所以我通过ssh登录服务器来验证文件。
阶段1:从脚本发现到脚本删除1.使用upper命令检查系统的操作,并确保某些名为sustse的进程占用过多的CPU资源。
2.使用whereis sustse和what options命令查找此命令的位置,并找到找不到的命令。
3.要查明文件是否存在,请使用find / -name sustse命令。此时,在/ var / tmp / sustse中查找文件。同一目录中还有另外两个文件。
找到这个文件非常简单,它终止处理并删除了文件。但没有过程
它出现了。
阶段2:重现脚本以完成清理1.使用ps -anx | ps -anx命令。要查看与grep sustse sustse相关的过程。此时,我很惭愧删除文件。突然之间我们想到在使用从定时任务开始的后门之前玩CTF。
2,使用crontab -l命令查看是否有定时任务。我发现这存在。
3,我更直接,我在录制后立即将其删除,然后我将删除该文件并等待一段时间以查看该进程是否会恢复。
第3阶段:脚本分析脚本下载地址:http://www.tionhgjk.com:8220 / mr.sh
1,脚本1的内容
结束部分过程并删除一些文件不明白具体目的,这是猜测以前版本的地址是否已经更改。
删除一些文件。
2,脚本内容2
请检查文件是否存在。如果它存在,验证该文件是你的检查sustse文件的MD5值,不存在的情况下分配DIR变量“/ var / tmp中”。
请检查curl命令和wget命令是否存在。
3,脚本内容3
downloadIfNeed函数决定是否需要下载sustse文件并根据需要调用下载函数。
4,脚本4的内容
download函数确定sustse3文件是否存在或者sustse3文件的MD5值是否匹配。如果不匹配,或者文件不存在,请调用下载2。
如果从http://www.tionhgjk.com:8220/tte2下载,则Download2函数确定系统是否为64位,下载位置为/ var / tmp / sustse。
检查sales的MD5值,如果匹配,则将MD5值更改为3。
5,脚本内容5
判断函数将http://www.tionhgjk.com:8220/wt.conf下载到/var/tmp/wc.conf。
使用nohup开始执行并在后台运行。
judge2函数以nohup开始并在后台运行。
6,脚本6的内容
使用crontab创建计划任务。
请参阅sustse执行设置文件。
我找到GitHub地址,确认是Monroe的采矿计划,确认了tionhgjk.com的注册信息,发现域名注册日期是2018-10-06T19:45:40.00,我找不到更多信息
这就结束了!

(责任编辑:admin)

热门文章

随机新闻

更多>>

国内365bet登录网址