DDG挖矿病毒排查总结
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
0、本次爆破 参考链接1:https://blog.trendmicro.com.tw/?p=63218参考链接2:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-miner-uses-hacking-tool-haiduc-and-app-hider-xhide-to-brute-force-machines-and-servers 挖矿程式使用Haiduc…… 目录 /tmp/.md/ 脚本 字典文件 爆破记录 内网主机banner haiduc可能是黑客用来爆破的脚本,可惜被自动杀了。此脚本爆破速度很快。 目录中存在字典文件、爆破记录 1、计划任务下载 i.sh shell 脚本 黑客通过SSH爆破或漏洞攻击利用进行入侵,入侵成功后会执行远程下载名为i.sh的shell脚本 该脚本主要功能是写入定时任务用于持久化,下载ddgs母体二进制文件,分为32位(h32)和64位(h64);之后将下载的ddgs病毒母体重命名为mbdh139c,赋予权限并执行;清除历史版本的进程 生成的重要恶意文件 例: 2、ddgs母体 自我文件拷贝、下载挖矿进程、使用漏洞感染其他设备 3、处置 1)删除计划任务 2)删除用户 01.确认用户不存在进程 02.删除用户 userdel -r -f username# -r 删除用户家目录及其中的文件和邮件目录# -f 强制删除 3)删除挖矿目录 挖矿目录 删除 4)删除爆破目录 爆破目录 删除 5)删除其他病毒文件 所有病毒文件除爆破和挖矿外均在test和test1用户目录下 6)删除排查过程中装的软件及文件 Tip 本次四台服务器共用一套文件系统,故在主节点(master)删除两个用户后其它节点不需要再删除。 作者:Joejb来源:https://www.52pojie.cn/thread-1828132-1-1.html 文章来源:HACK之道 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END
- 上一篇:攻防千层饼(常规的攻击与防御手段)
- 下一篇:攻防|红队外网打点实战案例分享