共计 1001 个字符,预计需要花费 3 分钟才能阅读完成。
故事情节:
有一天在聚餐中,我有一个敌人和我说他的服务器上有有个异样的过程他始终在占满 CPU 在运行,我在一顿虚心之后许可了他,有空登录上他的服务器看一下具体情况。
这一天正是五月一日,一年一度的劳动节来了,我在家里闲着没事干在看某综艺,这时手机响了,来了一条微信音讯,看到他给我发来了俩张图,忽然勾起了我心田的好奇。
就是以上三张图,在 proc 目录中的 exe 指向的文件已被删除,我看到这里,我好奇这个过程必定是被暗藏掉了。这时,我情急生智跟这位敌人要了 root 账号密码。登录服务器用 top 命令一看,发现一个奇怪的过程在运行,我应用 kill 命令将其杀后,等了十来分钟后,发现没有被启动,这时我和这位敌人说干掉了,他问我是不是 kill 掉了,我说嗯,他又补充到,这个过程杀掉过段时间会起来的,我问他大略多久就会启动,他说不清楚大略一天内必定会启动。这时我慌了,如果是一天内才启动,我还得今天能力看见,那切实没方法了。我又开始看我的综艺了。
没过多久,我又看了一下,发现这个过程换了个名字又启动了。还干满了 CPU,就在这时,我在钻研这个过程运行文件的时候发现:
这个过程会连到一个韩国的服务器上,我拜访这个 IP 发现是一个失常的网站,没有异常情况。
同时在查看运行目录的时候,发现如下问题
发现运行文件的命令也没有,同时运行目录也被删掉了。就在这时卡住了脖子,不知如何是好,这时忽然想起来一个定时运行的脚本。关上脚本是这样的:
发现这个脚本是 base64 编码加密的,在网上找了一个解密的工具,进解密后发现这个是脚本
残缺脚本如图:
在下大略看了一下脚本内容,如下是执行一个临时文件并赋予一个执行权限在执行实现后将其删除,所以刚刚在看得时候发现执行的目录下得文件报红呈现失落的状况
最骚的是这里,要害货色在这里了。应用拼接组成一个 URL 进行下载病毒文件。通过一系列操作,先查看本地 IP,又看了是我是谁,又看了机器的架构,还看了机器的主机名,同时还看了本地的网卡所有的 IP。最要害的是把网络这一块搞成一个 md5sum。在最初查看了定时工作并搞成了一个 base64 的字符串
再往下就是下载脚本执行并增加定时工作了,有意思的是这个脚本的 2017 年的,至今还再用。到最初我勾销了他所有权限,并改了名字,同时把定时工作将其删除。
到此该病毒已被清理。