文章目录
起因
清除过程
确定病因
开始清除
复发
定时任务
update.sh分析
修复
样本分析:networkservice文件的分析
分析准备
功能分析
sysguard
样本下载
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
*本文原创作者:xuing,本文属于林哲博客原创奖励计划,未经许可禁止转载
起因
舍友在宿舍喊着,这服务器好卡啊,难受啊!我调侃他是不是被挖矿了,top命令看一下CPU占用。
一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。
看来被挖矿是坐实了。
清除过程
确定病因
这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。
基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。
使用命令:
ps -aux | grep sysupdate
查看病毒的PID号。
为了获取绝对路径,使用:
ls -l /proc/{pid号}/exe
发现sysupdate的绝对路径在/etc/sysupdate。
下载下来,上传到VirusTotal。
如图所示,就是他,挖矿病毒没跑了。
开始清除
首先干掉进程:kill -9 {pid号}
直接rm -f sysupdate会提示类似:
rm: cannot remove ‘sysupdate ‘: Operation not permitted
基于经验,应该是病毒使用了chattr +i的命令。我们只要先执行chattr -i sysupdate,然后就可以正常删除了。
复发
然后..很快就又被创建出来了。应该是有守护进程什么的。
而且如果我们简单分析一下sysupdate,其实他并不是病毒,他只是个XMR挖矿程序。
(懂我意思吧