处理多台服务器均被xmrig挖矿病毒入侵（二）

2024-3-15

前言

继上篇文章清理病毒后，第二天病毒仍会持续运行，并且发现如果删除/etc/passwd中的xdp用户后，/root/.viminfo会自动创建出来xdp，如果删除.vimfo，还是会被自动创建

处理步骤

使用审计服务排查

auditctl -w /root/ -p wa -k root-dir-create

-w /root/：这个选项指定要监控的文件或目录路径，这里是 /root/，即根用户的主目录。
-p wa：这个选项指定了要监控的操作权限标志位。wa 表示监控 write (写) 和 attribute change (属性更改) 操作。在 auditctl 中，w 通常代表所有类型的写操作，包括修改文件内容；而 a 通常表示访问模式、所有权、链接数以及其他元数据属性的更改。
-k root-dir-create：这个选项用来设置一个关键字（key）或者标签，用于在日志中标识这条规则，便于后期审计日志分析时快速查找相关事件。root-dir-create 可以理解为对这条规则的描述或注释，表明这条规则关注的是根目录下的创建活动。

综上所述，这条命令的作用是设置一个审计规则，用于监控 /root/ 目录下发生的任何写操作以及文件或目录属性的更改，并将这些事件标记为“root-dir-create”，以便在审计日志中追踪涉及根目录的所有创建或属性更改行为。

查到以下内容

----
time->Wed Mar 13 11:38:05 2024
type=PROCTITLE msg=audit(1710329885.308:164): proctitle=6370002F7573722F62696E2F73797374656D2F636F6E6669672E6A736F6E002F726F6F742F2E753163544D47643077492F
type=PATH msg=audit(1710329885.308:164): item=1 name="/root/.u1cTMGd0wI/config.json" inode=26345519 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.308:164): item=0 name="/root/.u1cTMGd0wI/" inode=26345518 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1710329885.308:164): cwd="/"
type=SYSCALL msg=audit(1710329885.308:164): arch=c000003e syscall=257 success=yes exit=4 a0=ffffff9c a1=5574f326a2d0 a2=c1 a3=1ff items=2 ppid=1616635 pid=2225435 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="cp" exe="/usr/bin/cp" subj=unconfined key="root-dir-create"
----
time->Wed Mar 13 11:38:05 2024
type=PROCTITLE msg=audit(1710329885.324:165): proctitle=6C6E002D73002F726F6F742F2E753163544D47643077492F786D726967002F726F6F742F2E753163544D47643077492F3873465A4B686D496A36
type=PATH msg=audit(1710329885.324:165): item=2 name="/root/.u1cTMGd0wI/8sFZKhmIj6" inode=26345520 dev=fd:00 mode=0120777 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.324:165): item=1 name="/root/.u1cTMGd0wI/xmrig" nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.324:165): item=0 name="/root/.u1cTMGd0wI/" inode=26345518 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1710329885.324:165): cwd="/"
type=SYSCALL msg=audit(1710329885.324:165): arch=c000003e syscall=266 success=yes exit=0 a0=7fff07defedd a1=ffffff9c a2=7fff07defef5 a3=559135798340 items=3 ppid=1616635 pid=2225440 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="ln" exe="/usr/bin/ln" subj=unconfined key="root-dir-create"

root@ss:~# lsof -p 1616635
COMMAND     PID USER   FD   TYPE             DEVICE SIZE/OFF     NODE NAME
system  1616635 root  cwd    DIR              253,0     4096        2 /
system  1616635 root  rtd    DIR              253,0     4096        2 /
system  1616635 root  txt    REG              253,0  1396520 16384501 /usr/bin/bash
system  1616635 root  mem    REG              253,0    27002 16393656 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
system  1616635 root  mem    REG              253,0  3048928 16398150 /usr/lib/locale/locale-archive
system  1616635 root  mem    REG              253,0  2220400 16387080 /usr/lib/x86_64-linux-gnu/libc.so.6
system  1616635 root  mem    REG              253,0   200136 16395316 /usr/lib/x86_64-linux-gnu/libtinfo.so.6.3
system  1616635 root  mem    REG              253,0   240936 16387064 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
system  1616635 root    0r   CHR                1,3      0t0        5 /dev/null
system  1616635 root    1u  unix 0xffff8e296a73dd80      0t0  8372765 type=STREAM
system  1616635 root    2u  unix 0xffff8e296a73dd80      0t0  8372765 type=STREAM
system  1616635 root  255r   REG              253,0     2433 16777903 /usr/bin/system/system (deleted)
root@ss:~#

下面这个文件不是正常的系统文件

处理多台服务器均被xmrig挖矿病毒入侵（二）插图

问题一.root目录下那些乱码文件夹的生成都是xmrig的隐藏目录，查到他原程序在哪，把那些原程序删除之后，他就没法再生成新的程序了

问题二.另一个问题是自动创建xdp用户，是另一个程序去创建的，当时是审计的/etc/passwd这个文件，审计是谁谁动这个文件，后来查到是service附属的一个服务动的，然后就直接去查service。

auto_script.service是提权的服务，对应的执行文件是/usr/bin/sshd，对比了下正常的电脑，是不存在这个文件的，这个是伪装的文件

审计/root/查PID只能查到这个复制的源文件，system.service是病毒执行文件，负责复制并生成病毒

阅读剩余

本站代码模板仅供学习交流使用请勿商业运营，严禁从事违法，侵权等任何非法活动，否则后果自负！

------本页内容已结束，喜欢请分享------

版权声明 1 本网站名称：诺言博客
2 本站永久网址：https://nuoyo.cn
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 QQ2469329338进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。
7 如无特别声明本文即为原创文章仅代表个人观点，版权归《诺言》所有，欢迎转载，转载请保留原文链接。

THE END

诺言

白天睡大觉，晚上魂飘飘~~~

数据统计

本周更新

3篇

本月更新

0篇

用户数量

25位

B站:

@诺言站长

去看看

QQ:

2469329338

日历

5月

星期四

Oliver Volkman

5月2日

Its like you read my mind You appear to know so much about this like you wrote the book in it or something I think that you can do with a few pics to drive the message home a little bit but other than that this is fantastic blog A great read Ill certainly be back

评论于处理多台服务器均被xmrig挖矿病毒入侵（二）

Oliver Volkman

5月2日

评论于处理多台服务器均被xmrig挖矿病毒入侵

Oliver Volkman

5月2日

评论于解除申诉失败爆红域名教程

577575

4月30日

75757575757575757575

评论于宝塔开心版面板8.0.5企业版开心破解版脚本

123