DDG挖矿病毒排查总结
2023-12-18 10:8:40 Author: 黑白之道(查看原文) 阅读量:11 收藏

0、本次爆破

参考链接1:https://blog.trendmicro.com.tw/?p=63218
参考链接2:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-miner-uses-hacking-tool-haiduc-and-app-hider-xhide-to-brute-force-machines-and-servers
  • 挖矿程式使用Haiduc……

  • 目录 /tmp/.md/

  • 脚本

  • 字典文件


  • 爆破记录

  • 内网主机banner

  • haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。

  • 目录中存在字典文件、爆破记录

1、计划任务下载 i.sh shell 脚本

  • 黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本

  • 该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程

  • 生成的重要恶意文件 例:

2、ddgs母体

  • 自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备

3、处置

1)删除计划任务

2)删除用户

01.确认用户不存在进程

02.删除用户
userdel -r -f username# -r 删除用户家目录及其中的文件和邮件目录# -f 强制删除

3)删除挖矿目录
  • 挖矿目录

  • 删除

    4)删除爆破目录
  • 爆破目录

  • 删除

    5)删除其他病毒文件
  • 所有病毒文件除爆破和挖矿外均在test和test1用户目录下

6)删除排查过程中装的软件及文件
Tip
  • 本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。

作者:Joejb来源:https://www.52pojie.cn/thread-1828132-1-1.html

文章来源:HACK之道

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650584009&idx=3&sn=1d33c6ff13fbd7253f37a88bfd52c14a&chksm=821f18b00e9163da7ec8dc6248a44386189994c5f1f279a0bea98c61db74119b52b8247cbc3b&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh