Linux watchdogs 感染性隐藏挖矿病毒。
网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的挖矿病毒。
我从定时器的地址里面,找出了 python base64 转码的脚本 。解码后,发现了在 shell 脚本中有他们留下的联系方式。
crontab 如下 :
该crontab任务实现从 hxxps://pastebin.com/raw/sByq0rym 下载shell脚本并执行,shell脚本内容为:
使用base64进行转码后,
可以看到下载执行的脚本文件内容。
留言挺有趣的
我试着联系了一下,结果对方发送了一份 clean 脚本 …
clean.sh :
```powershell
#!/bin/bash
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
me=$( whoami )
function cleanup() {
ps auxf|grep -v grep|grep "crun" | awk '{print $2}'|xargs kill -9
rm -rf /bin/httpntp /bin/ftpsdns
cat /etc/crontab | grep -v "##" | grep -v "/bin/httpsntp" | grep -v "/bin/ftpsntp" > /etc/crontab.bak && mv /etc/crontab.bak /etc/crontab
rm -rf /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/system /var/spool/cron/root /var/spool/cron/crontabs/root
rm -rf /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane
rm -rf /bin/config.json /bin/watchbog /bin/config.txt /bin/cpu.txt /bin/pools.txt
rm -rf /tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/
rm -rf /tmp/.tmp*
}
function allcron() {
for user in $(cut -f1 -d: /etc/passwd);
do
pa=$(crontab -u $user -l|grep 'pastebin'|wc -l)
if [ ${pa} -ne 0 ];then
echo "$user is infected"
crontab -u $user -r
fi
done
}
function killdog() {
ps auxf|grep -v grep|grep "watchbog" | awk '{print $2}'|xargs kill -9
pkill -f watchbog
}
if [ "$me" == "root" ];then
echo "Removing All Persistence Methods And Killing Miner"
cleanup
allcron
killdog
else
echo "You $me Have To Run This Sctipt For Total Cleanup"
fi
感谢黑客 。
代码成功解除了服务器上的watchBog。
但是除此之外,必须要断开感染源 。
经过几天测试,确认了我方感染源为 jenkins ,关闭服务,服务器挖矿病毒终于彻底解除
也有可能会是其他的服务,需要自行确认。