DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

一款新型的Linux挖矿木马来袭

09-18 WEB安全

一、事件背景
最近接到客户反馈,发现Linux机器卡顿,CPU使用量超标高达90%以上,怀疑被挖矿,深信服EDR安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的研究分析。
二、样本分析
1.对一系列矿池地址进行DNS查询请求,如下:
相应的矿池地址列表如下:

一款新型的Linux挖矿木马来袭


pool.minexmr.com,xmr-eu1.nanopool.org,xmr-eu2.nanopool.org
xmr-us-east1.nanopool.org,xmr-us-west1.nanopool.org,xmr-asia1.nanopool.org
xmr-jp1.nanopool.org,xmr-au1.nanopool.org,xmr.crypto-pool.fr
fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com
pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com
xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com
xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com
pool.monero.hashvault.pro、gulf.moneroocean.stream
us-east.cryptonight-hub.miningpoolhub.com
europe.cryptonight-hub.miningpoolhub.com
asia.cryptonight-hub.miningpoolhub.com
2.通过chattr -i删除掉文件保护属性,重新感染主机系统,如下:

一款新型的Linux挖矿木马来袭


3.通过进程/proc/[进程ID]/exe,获取文件的路径,如下:

一款新型的Linux挖矿木马来袭


4.在内存中拼接字符串,如下所示:

一款新型的Linux挖矿木马来袭


相应的命令行如下:

一款新型的Linux挖矿木马来袭


5.运行/bin/sh执行之前拼接出来的命令,复制自身,添加相应的自启动项,进行持久化操作,如下所示:

一款新型的Linux挖矿木马来袭


相应的反汇编代码如下:

一款新型的Linux挖矿木马来袭


6.通过rm -f进行自删除操作,如下:

一款新型的Linux挖矿木马来袭


7.修改resolv.conf配置文件,如下:

一款新型的Linux挖矿木马来袭


相应的反汇编代码如下:

一款新型的Linux挖矿木马来袭


修改之后的resolv.conf文件如下:

一款新型的Linux挖矿木马来袭


8.修改crontab定时任务文件,如下:

一款新型的Linux挖矿木马来袭


相应的反汇编代码,如下:

一款新型的Linux挖矿木马来袭


9.修改之后的定时文件内容,如下:

一款新型的Linux挖矿木马来袭


10.判断是否可以读取如下文件,如下:

一款新型的Linux挖矿木马来袭


11.修改原系统中的top程序,如下:

一款新型的Linux挖矿木马来袭


将内存中的数据,写入新生成的top程序,如下:

一款新型的Linux挖矿木马来袭


12.修改复制后的文件保护属生,如下:

一款新型的Linux挖矿木马来袭

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/120.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X