首页   注册   登录
 linnil 最近的时间轴更新

linnil

V2EX 第 225924 号会员,加入于 2017-04-13 21:22:39 +08:00
linnil 最近回复了
歪楼问一句:同一台电脑,用 Linux 系统没事,用 Windows10 就频繁蓝屏,是电脑问题吗?
PS:半年前自己无脑组装了一台电脑,装上 Win10 之后动不动(尤其是更新又更新不了,系统又自动老是尝试更新,关又关不掉)就蓝屏,openSUSE 使用没有任何问题。
12 天前
回复了 Hanbuger 创建的主题 Linux Linux 云服务器中毒了
很久没关注`redis`的挖矿木马了,解决方案参考:[对抗这种 rootkit 难度爆表,,回滚更划算,]( https://www.v2ex.com/t/537457?p=1)
以前是 windows 下开发的吧,路径是用的字符串,修改那些文件路径就好了
47 天前
回复了 dyllanwli 创建的主题 程序员 有没有一起学 hacker101 的小伙伴?
+1
@lvxiang119 哇,大佬啊,我只知道它劫持了系统库函数,但是不知道具体劫持了哪些,功力不足啊。
顺带问一下破坏了链接库,删除定时任务,开机自启之后,这个挖矿病毒算清理了么?
最新消息,libioset 貌似升级了,
将 libioset。so 文件破坏,系统重启,清空能用。主要是那个动态链接库搞事情。
## 来源
大部分来源于 redis,这里也只说明 redis

### redis
在 redis 以 root 运行,开启公网访问,没有禁用 /重命名 confing 命令,且使用系统定时任务服务的情况下,可实现入侵。当局域网内有一台机被沦陷之后,且该机器登录过且无需密码能登录局域网内服务器,将进行扫描入侵。

## 脚本流程
该脚本将先清理掉服务器可能已经被挖矿的其他程序,然后下载自己的看门狗程序,设置并覆盖加载动态链接库:
/etc/ld.so.preload
/usr/local/lib/libioset.so

写入定时任务,文件有:
1. /var/spool/cron/root
2. /etc/cron.d/root
3. /var/spool/cron/crontabs/root

常见 watchdogs 自启动服务:
/etc/init.d/watchdogs

## 特别说明 - 链接库
链接库会覆盖某些函数,当运行一些命令时会先执行作者写的函数,所以在使用 cd,vi 等命令时会发现定时任务又回来了,这是因为这些命令会调用该链接库所致。并不是有其他程序监控并修改文件所致。

## 建议清理方案
设置 redis
停掉定时任务
清理并刷新动态链接库
清理并重建定时任务
删除自启动
启动定时任务

## 不足
由于时间与能力的关系,分析可能不完整,欢迎大家提出意见。
@17612729987
@Acoffice
@Acoffice 我整理一下,稍等。
咋感觉都没人愿意理我呢,昨天正好看了下这个 sByq0rym 这个挖矿木马。又花五分给说说,极力挽救一下。
木马主要是利用定时任务,每 15/30 分钟执行一次,而且该木马会覆盖一个库函数,当你使用一些命令的时候会调用该库的函数,作者在函数里进行了屏蔽,比如 ps 的时候,显示不出进程,而且在你用 vi 修改定时任务的时候,会先将数据写入到定时任务文件。所以对付它可以先停掉定时任务,然后删掉那个动态链接库,然后刷新并重建定时任务文件,在开启定时任务。
脚本里面有函数,虽然命名不规范,很垃圾,但是应该也许容易看。
对了,35 楼脚本不停止挖矿,只清理,清理之后自己删挖矿进程吧。
脚本也使用了 base64 编码,自己解码即可。
写得不好之处,欢迎告知我修改。
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2003 人在线   最高记录 4385   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 9ms · UTC 15:46 · PVG 23:46 · LAX 08:46 · JFK 11:46
♥ Do have faith in what you're doing.
沪ICP备16043287号-1