实战矿马:如何清除木马文件(/usr/games/power-on)

2022-03-31 16:34:05 浏览数 (4)

本身这个案例很简单,主要分享使用chattr工具的安装方法和简单文件特殊权限清除命令,方便快速处理。

现象

1.CPU占用100%

高CPU占用,大概率中了挖矿进程持续损耗CPU高CPU占用,大概率中了挖矿进程持续损耗CPU

2.主机安全检测的木马文件/usr/games/power-on,无法清除隔离。

通过主机安全控制台,无法隔离木马power-on通过主机安全控制台,无法隔离木马power-on

恶意进程定位

1.矿马位置:

代码语言:javascript复制
/usr/games/power-on

排查:上机

第一步:使用top命令查看当前进程占用情况,发现了games用户的bash命令占用CPU高达196%

games用户高占用CPU进程games用户高占用CPU进程

定位一下/usr/games路径,看看里面有什么玄机文件:

代码语言:javascript复制
usr/games/config.json
usr/games/create
usr/games/auto
usr/games/bash
usr/games/hide
usr/games/logs
usr/games/mining
usr/games/ra.pid
usr/games/start
usr/games/config.jsonusr/games/config.json
usr/games/createusr/games/create
usr/games/autousr/games/auto
usr/games/bashusr/games/bash
usr/games/hideusr/games/hide
usr/games/logsusr/games/logs
usr/games/miningusr/games/mining
usr/games/ra.pidusr/games/ra.pid
usr/games/startusr/games/start

清理

首先还是先使用kill -STOP将高占用进程先停止,这里不再赘述,我之前的文章里有具体的操作方式。

高占用进程停止后,我们发现这些路径下的文件无法直接通过rm -rf删除

这时候就要使用工具chattr,清除一下文件的特殊权限:

安装chattr

代码语言:javascript复制
yum -y install e2fsprogs

使用chattr -ias "文件名称" ,清除该文件的特殊权限。

代码语言:javascript复制
chattr -ias usr/games/config.json
chattr -ias usr/games/create
chattr -ias usr/games/auto
chattr -ias usr/games/bash
chattr -ias usr/games/hide
chattr -ias usr/games/logs
chattr -ias usr/games/mining
chattr -ias usr/games/ra.pid
chattr -ias usr/games/start

清除特殊权限清除特殊权限

使用chmod x "文件名称",为文件重新赋权。

代码语言:javascript复制
chmod  x usr/games/config.json
chmod  x usr/games/create
chmod  x usr/games/auto
chmod  x usr/games/bash
chmod  x usr/games/hide
chmod  x usr/games/logs
chmod  x usr/games/mining
chmod  x usr/games/ra.pid
chmod  x usr/games/start

使用rm -rf清理

代码语言:javascript复制
rm -rf usr/games/config.json usr/games/create usr/games/auto usr/games/bash usr/games/hide usr/games/logs usr/games/mining usr/games/ra.pid usr/games/start

(2)查看自启动日志,看看是否还有新增任务,观察三个小时,无新增说明已经清理干净,同时观察CPU是否正常

CPU进程已恢复正常CPU进程已恢复正常

总结一下

文件若无法正常执行操作,使用chattr工具清除特殊权限后,再进行执行。

1 人点赞