手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

提高警惕啊£¡利用Confluence最新漏洞传播的Linux挖矿病毒seasame

来源£º本站整理 作者£º佚名 时间£º2019-04-25 TAG£º 我要投稿

一¡¢现象描述
近日£¬深信服EDR产品率先检测到一款新型Linux挖矿木马£¬经深信服安全专家分析£¬该病毒利用Confluence漏洞传播£¬通过定时下载对病毒体进行保活£¬同时由于病毒会杀掉包含“https://”¡¢“http://”的进程£¬将导致用户无法下载文件及访问网页£¬挖矿进程会导致服务器出现卡顿等异常现象¡£深信服安全团队对该挖矿木马进行了详细的技术分析£¬并根据其母体文件名将其命名为seasame¡£
感染该木马后现象如下£¬可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程¡£

另外£¬还会出现无法使用wget和curl命令£¬以及无法打开浏览器等问题¡£

该病毒目前的传播途径主要是利用Confluence近期公布的远程代码执?#26032;?#27934;CVE-2019-3396和CVE-2019-3398£¬这里提醒有安装该软件的用户需要注意进行防御¡£
二¡¢详细分析
2.1 母体脚本
一些初始化变量如下£¬其中entropy为C&C服务器字符串的翻转£¬C&C服务器地址为51[.]15[.]56[.]161[:]443£»变量new_bash¡¢new_dog¡¢new_killbot¡¢omelette为后面要创建的文件名£¬均由7位随机的字符串组成£¬后面描述这些文件时都直接使用其对应的变量名£»_b£¬_j等变量用于拼凑shell命令¡£

根据是否存在vmlinuz进程及其CPU占用是否超过30%£¬判断系统是否已经感染£¬如果已经感染则杀掉其他CPU占用高于30%的进程并退出脚本£º

下载挖矿程序omelette及母体脚本seasame到/tmp目录下£¬并执行挖矿程序¡£

创建crontab定时任务£º

创建的定时任务如下£¬每隔5分钟都会从C&C服务器下载母体脚本seasame到/tmp目录下并执行£º

删除iptables命令£¬将wget重命名为wgetak£¬curl命令重命名为curlak¡£

创建cloud_agent.service服务£º

cloud_agent.service服务如下£¬同样用于下载并执行母体脚本seasame£º

将bash命令复制到当前目录£¬然后分别执行3个脚本¡£new_dog£º守护挖矿进程£»new_killbot£º清除除vmlinuz以外£¬CPU占用大于30%的进程£»prot£º杀掉包含“https://”¡¢“http://”¡¢“eval”的进程¡£

2.2 挖矿程序
1.打开相应的文件£¬如果文件不存在£¬则生成相应的文件£¬如下所示£º

2.生成/temp/ec2a6文件£¬如下所示£º
生成的文件£¬如下所示£º

3.生成/var/tmp/f41£¬如下所示£º

4.生成de33f4f911f20761£¬如下所示£º
生成的文件£¬如下所示£º

5.获取主机CPU信息£¬如下所示£º

6.解密出相应的矿池IP地址:51.38.133.232¡¢51.15.56.161£¬如下所示£º

[1] [2] [3]  下一页

¡¾声明¡¿:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的£¬并不代表本站赞同其观点和对其真实性负责£¬仅适于网络安全技术爱好者学习研究使用£¬学习中请遵循国家相关法律法规¡£如有问题请联系我们£¬联系邮箱[email protected]£¬我们会在最短的时间内进行处理¡£
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        ¹ºÂò²ÊƱȨÍþÍøÖ·
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中