0%

挖矿病毒

记录一次readworld中的猎马过程

一次机会能接触到真正的病毒(方式不能说),接触到了一些黑客手法。

可以看到我们查看每日的定时任务时看到了ntpdate里面,很明显具有病毒特征,运行./mysql向另外一个内网地址发送什么,并且把错误信息全部重定向为空,然后进行自删除。

image-20211119105532288

再把mysql删了之前,先把这些定时任务取消。lsattr发现又加了i,又加了e.

image-20211119105600631

chattr的文档:https://www.computerhope.com/unix/chattr.htm

察觉到不对劲,是文件的问题吗?病毒已经猖狂到了这样吗?还是chattr的问题?我们全局搜索一下chattr,除了杀毒软件的EDR下有一个chatrr,在/usr/bin目录下的chattr我们cat发现内容已经为空了,这样我们直接用chattr -ai 就会失败,并且不会进行任何报错。

image-20211119105821775

知道黑客的手法了,解决办法很简单,用edr的chattr删就好了。

image-20211119110344126

结束。

image-20211119110636893