反射Shell > 后门程序 > 挖矿程序 --处理篇之二

痛定思痛。 2022-02-21 04:16 258阅读 0赞

[反射Shell > 后门程序 > 挖矿程序 --处理篇之一][Shell _ _ _ _ --]

前篇会对问题做一些说明，已经有了问题追踪阐述：

补充一个点：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70][]

查看发现/etc/ld.so.preload对应的实际路径为：上面splunk根目录下lib目录里面的一个文件：

![2019041014233987.png][]

处理方案：

1. 将上面的文件备份如上，同时杀掉之前splunk.pid里面的所有进程。

这边强调一下是同时，命令如下：kill -9 22979 22983 22999 23124 23210 23938

2. 删除local下的lib和splunk文件夹如下：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1][]

3. 查询/sbin目录下的可疑执行命令如下：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2][]

4. 查看内容：

![20190410135900883.png][]

5. cd /usr/libexec

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3][]

6. 具体看一下/run里面的内容：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 4][]

7.删除上面所有相关的程序，修改所有用户的密码为强密码后

8.打开上面的 go,i86...我的个神，尽然是复制的run代码，只不过起了不同的名字来混乱视线的。敌人很阴险呀

9.干脆对应的文件夹删掉

10. 查看启动文件

11. 检测之前的目录发现：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 5][]

12. 哇咔咔，这又是什么鬼，初始程序

13. 删除初始程序

14. top查看进程，之前删除的进程看有没有运行的-------结果没有

15.查看联网状况

16. 重启

17. 监控进程---无可疑进程

18. 收工，明天再来喵喵

[Shell _ _ _ _ --]: https://blog.csdn.net/m0_37268841/article/details/89176380
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70]: /images/20220221/12a2a137a4d742739c0a937044a32453.png
[2019041014233987.png]: /images/20220221/647920b6b72d4a67ae0ce107bf4939e2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1]: /images/20220221/55e2bbd8457c4eb1bf37e699a902de19.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2]: /images/20220221/8b65f7d544344a6c8ae3a8f55880c90a.png
[20190410135900883.png]: /images/20220221/146f306201fc4bd9a6059bd666ec125e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3]: /images/20220221/0aab792c369b4cafab742d4e6dba3b86.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 4]: /images/20220221/37fa1b9087214da6969556f4f4f4d3fc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 5]: /images/20220221/153c3f9f713e43338ced55b31cb7e284.png