故事情节:
有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常的进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。
这一天正是五月一日,一年一度的劳动节来了,我在家里闲着没事干在看某综艺,这时手机响了,来了一条微信消息,看到他给我发来了俩张图,突然勾起了我内心的好奇。
就是以上三张图,在proc目录中的exe指向的文件已被删除,我看到这里,我好奇这个进程肯定是被隐藏掉了。这时,我急中生智跟这位朋友要了root账号密码。登录服务器用top命令一看,发现一个奇怪的进程在运行,我使用kill命令将其杀后,等了十来分钟后,发现没有被启动,这时我和这位朋友说干掉了,他问我是不是kill掉了,我说嗯,他又补充到,这个进程杀掉过段时间会起来的,我问他大概多久就会启动,他说不清楚大概一天内肯定会启动。这时我慌了,如果是一天内才启动,我还得明天才能看见,那实在没办法了。我又开始看我的综艺了。
没过多久,我又看了一下,发现这个进程换了个名字又启动了。还干满了CPU,就在这时,我在研究这个进程运行文件的时候发现:
这个进程会连到一个韩国的服务器上,我访问这个IP发现是一个正常的网站,没有异常情况。
同时在查看运行目录的时候,发现如下问题
发现运行文件的命令也没有,同时运行目录也被删掉了。就在这时卡住了脖子,不知如何是好,这时突然想起来一个定时运行的脚本。打开脚本是这样的:
发现这个脚本是base64编码加密的,在网上找了一个解密的工具,进解密后发现这个是脚本
完整脚本如图:
在下大概看了一下脚本内容,如下是执行一个临时文件并赋予一个执行权限在执行完成后将其删除,所以刚刚在看得时候发现执行的目录下得文件报红出现丢失的情况
最骚的是这里,关键东西在这里了。使用拼接组成一个URL进行下载病毒文件。通过一系列操作,先查看本地IP,又看了是我是谁,又看了机器的架构,还看了机器的主机名,同时还看了本地的网卡所有的IP。最关键的是把网络这一块搞成一个md5sum。在最后查看了定时任务并搞成了一个base64的字符串
再往下就是下载脚本执行并添加定时任务了,有意思的是这个脚本的2017年的,至今还再用。到最后我取消了他所有权限,并改了名字,同时把定时任务将其删除。
到此该病毒已被清理。