主要特征
通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马
爆破成功后执行base64编码的shell命令,主要功能为删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行
kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。run负责接收木马远控端的指令
a目录下kswapd0负责进行门罗币挖矿
b目录下run脚本主要内容为base64编码的shellbot后门程序
c目录下存放tsm32、tsm64 SSH爆破攻击程序。
Outlaw能够执行多个后门命令,包括文件下载、DDoS攻击,以及找到大量Linux平台竞品挖矿木马并进行清除。
亡命徒(Outlaw)僵尸网络之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。
腾讯iOA可查杀亡命徒(Outlaw)僵尸网络释放的后门木马、挖矿木马程序
检查和清除
建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
1、 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0
*/.configrc/a/kswapd0
md5: 84945e9ea1950be3e870b798bd7c7559
/tmp/*-unix/.rsync/c/tsm64
md5: 4adb78770e06f8b257f77f555bf28065
/tmp/*-unix/.rsync/c/tsm32
md5: 10ea65f54f719bffcc0ae2cde450cb7a
2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd
/b/sync
/c/aptitude
crontab 命令
crontab -u 指定crontab的用户,如果不使用该参数,则默认为当前用户
crontab -l 查看crontab定时任务
crontab -e 编辑用户的定时任务文件
crontab -r 删除用户的文件
linux find 命令查找文件和文件夹
查找目录:find /(查找范围) -name ‘查找关键字’ -type d
查找文件:find /(查找范围) -name 查找关键字 -print
查看连接
netstat -antp | grep ESTABLISHED
查看进程
top d1【动态】
ps -aux【静态】
用last -f wtmp 查看成功登录的日志
用户的网络行为:lsof -u 用户名字
连接主机
端口扫描
DDOS攻击
修改SSH公钥【方便入侵】----》去查看一下
参考:
http://hackernews.cc/archives/31342
https://www.freebuf.com/paper/242515.html