0x00 前言

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!

环境均为实验环境分析,且在本机进行学习。作者:zr0iy

最近正在学习应急响应,本着学习的态度来跟大家分享一波,比较简单,轻喷。

0x01 背景描述

主机192.168.2.158主机连接挖矿域名,且出现主机卡顿和CPU占用高等现象,并且主机未安装任何防护设备和杀软。

0x02 排查过程

通过top命令查看CPU占用,发现CPU占用率较高的进程名为“work32”,PID为2411。

1653314818_628b9502940714d73ca5d.png!small?1653314818781

通过PID获得对应进程目录和进程。

1653314957_628b958d6c8f9bb2fc34b.png!small?1653314957447

定位进程目录为/usr/.work,目录主要包含以下内容:

1653315088_628b96104dd88e92065e0.png!small?1653315088285

通过沙箱分析文件work32和xmr,发现恶意url:xmr.crypto-pool.frh和IP:163.172.226.137;URL的域名为矿池地址,确定为挖矿病毒。

1653313219_628b8ec3266779d78af33.png!small?1653313219175

1653314054_628b9206a05aff8c84e19.png!small?1653314054682

1653313270_628b8ef6df0433f065464.png!small?1653313270940

通过“auth.sh”和“secure.sh”文件所在路径,可以找到进程对应的文件。
1653316384_628b9b20c5ebb3b66a928.png!small?16533163847731653316439_628b9b5737c2fe2691800.png!small?1653316439201

通过分析“auth.sh”和“secure.sh”文件,发现代码均为封禁暴力破解IP。

1653315918_628b994e2b3c3d338b79f.png!small?1653315918160

1653316047_628b99cfa25ec43eb77bb.png!small?1653316047646

通过分析“config.json”文件,发现其中包含恶意URL:xmr.crypto-pool.fr

1653316126_628b9a1e4942d76aa7813.png!small?1653316126382

排查计划任务过程中发现进程“work32”的计划任务。

1653316841_628b9ce9d4c94fe334f64.png!small?1653316841957

排查ssh公钥,发现可疑公钥。

1653316964_628b9d64d538b2a95a73b.png!small?1653316964836

通过/etc/rc.local排查主机启动项,发现存在挖矿程序开机自启,并在后台运行。

1653317480_628b9f682b165ae68e59d.png!small?1653317480208

通过/etc/sudoers查看拥有sudo权限的用户,发现隐藏用户%wheel

1653317263_628b9e8f70ccb2b614387.png!small?1653317263482

通过查看病毒文件的创建时间,判断主机感染病毒的时间为11月1日。

1653317876_628ba0f4de7c678a0f4b3.png!small?1653317877132

通过查看主机日志,发现在感染时间对主机进行ssh爆破登录失败的账号均为root,ip为10.110.8.1和10.110.8.2。

1653317949_628ba13d8e21f1aed0e55.png!small?1653317949789

1653318036_628ba194ed8a8f62820ab.png!small?1653318037036

登录成功的IP为10.110.8.1和10.110.8.3。

1653318082_628ba1c26acab9cd9f7a2.png!small?1653318082401

查看定时任务日志,“work32”定时任务日志最早的出现的时间是在2021年11月1日 08:00:01。

1653320129_628ba9c1199c09f01bd8e.png!small?1653320129210

0x03 病毒处置

清除ssh公钥。

1653319559_628ba787e8c8c2ec9bc20.png!small?1653319559968

中止恶意进程。

1653318259_628ba2730048431ba6eee.png!small?1653318259007

删除病毒文件目录。

1653318327_628ba2b795ab8cba08c5c.png!small?1653318327621

1653318418_628ba3126fb03fb88a522.png!small?1653318418433

删除开机启动项/etc/rc.local中病毒进程,删除前进行备份。

1653318574_628ba3ae3436c972dfae7.png!small?1653318574369

1653318614_628ba3d6942e847571df4.png!small?1653318614629

删除计划任务。

1653319298_628ba6826505a879bbe6b.png!small?1653319298402

1653319323_628ba69b9faf70141126c.png!small?1653319323629

重启服务器。

1653319435_628ba70bc57eba3e2cd63.png!small?1653319435776

挖矿程序已被清除。

1653319462_628ba7261086db7cf8e44.png!small?1653319462096

0x04 总结

综上所述,IP“10.110.8.1”于“2021-11-01 03:59:17”通过sshd暴力破解root用户弱口令,在“03:59:21”成功拿到root账号并先后以“10.110.8.1”,“10.110.8.3”成功登录,通过ssh远程连接将work32文件上传并进行执行操作,并以rsa算法生成ssh加密连接通道,以及创建计划任务的启动项;因为启动work32挖矿程序造成服务器CPU使用率过高异常或者卡顿现象。

本文作者:云科攻防实验室-2, 转自FreeBuf