干货关于Linux下变种DDG挖矿应

春节刚过，黑产团队就开始了新的一年的工作。21日晚上九点多，正准备回家享受快乐时光呢，钉钉就响了，客户应急来了，8台机器感染挖矿木马病毒。挖矿病毒这两年也处理了不少了，但是这次的应急受益匪浅，值得记录一下。

此次事件从网上收集了下，途径不止有被通报的Redis，

JenkinsRCE漏洞

NexusRCE漏洞

Redis未授权访问or弱口令

然后被感染后受害者会尝试进行对外或内网SSH爆破、Redis探测并入侵

为什么要获取busybox？这就是此次事件的特别之处，如果你使用top、ps等系统命令是看不到挖矿进程的，因为挖矿病毒修改了系统的动态链接库配置文件/etc/ld.so.preload内容并引用了/usr/local/lib/libioset.so，所以有些运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到Linux动态链接库预加载机制，是一种常用的进程隐藏方法，而系统的ls，ps等命令已被通过so库的preload机制被病毒劫持,ls会导致/etc/cron.d/root文件被刷写为病毒定时执行命令。

而busybox是静态编译的，不依赖于系统的动态链接库，从而不受ld.so.preload的劫持，能够正常操作文件。

cd/bin/wget