TeamTNT挖矿木马学习笔记

TeamTNT挖矿家族主要通过两种方式入侵：

对外扫描6379端口redis未授权入侵写入定时任务
读取本机~/.ssh/authorized_keys文件横向入侵

在linux通常系统进程外面会带有[]，目的可能是为了混淆视听，将挖矿的进程名带上括号。
几分钟后使用top命令查看，发现挖矿进程不见了，但是系统依旧很卡。猜测做了进程隐藏或对命令劫持等手段。

连接上ECS云服务器，发现top、ps、wget等命令还有chattr命令也被修改了，这时候，系统命令当然是用不了的，可以使用busybox代替系统命令，使用方式可以参照如下：

使用 BusyBox命令mkdir运行  /usr/bin/busybox mkdir
使用 GNU Coreutils – 命令mkdir运行  /usr/bin/mkdir.

如果是想要源码编译busybox，可以参照一下这篇文章：https://www.cnblogs.com/HZL2017/p/14300820.html

编译的大致流程如下：

    1.下载源码文件：https://busybox.net/

    2.解压文件后，进入busybox目录

    3.make xxxconfig命令生成.config文件,这里可以根据具体的需求，选择对应的配置
        make defconfig：使用默认配置
        make allyesconfig：使用最大配置，所有busybox支持的命令均已配置，用于需要使用的命令较多的场景；
        make allnoconfig：使用最小配置，对应的命令选项均未勾选，需要用户自行配置，用于使用少量命令的场景；

    4.配置.config文件：make menuconfig
        执行该命令时，会进入图形界面；

        备注：
            删除键使用shift+backsapce；
            setting选项中，重点关注交叉编译选项、编译选项（CFLAGS）、链接选项（LDFLAGS）；
            命令选项中，[]中使用空格键可以添加*，表示yes；（）可以使用enter键，然后输入内容；
            在[]中选中或删除对应的命令，然后在退出时保存，即可将配置生效到.config文件中
    5.使用make进行编译

    6.使用busybox
    （1）方式一：使用busybox后加命令方式（不推荐），如：./busybox ls，但是这种方法使用灵活
    （2）方式二：创建软链接，指向busybox（推荐，灵活，通用形式），如：ln -s /sbin/busybox /sbin/ls

使用busybox可以发现一个是挖矿进程，另一个是pnscan扫描进程。直接kill进程后会马上再起一个，所以用busybox先把源文件删除后再杀进程。

使用busybox当中的命令进行查看系统进程，过滤出对应的ext4文件内容，清理前千万要记得留好程序备份，方便后面分析内容

清理完ext4文件之后，再使用find命令查看一下相关的文件，防止没有清理干净，find /var/tmp -mtime 7 这是表示查看7天之内被修改过的文件，也可以按照时间范围进行查找 find / -type f -newermt "开始间" ! -newermt "结束时间"

排查的时候千万别忘记了隐藏文件，例如 ... .. . 这些文件

回到上面的redis入侵，查看redis的启动日志，确认什么时间黑入redis，再排查其他的主机（横向）是否存在被黑的情况。

查看缺失的命令，并修复：rpm -Va

用rpm比对被修改过的命令。missing表示命令找不到了，5代表MD5发生了改变，有可能对应的命令文件被替换或有修改。M则表示命令的权限发生了修改。
![4.jpg][4]
具体每个值的含义如下：
        S         文件大小是否改变
        M         文件的类型或文件的权限（rwx）是否被改变
        5         文件MD5校验是否改变（可以看成文件内容是否改变）
        D         设备中，从代码是否改变
        L         文件路径是否改变
        U         文件的属主（所有者）是否改变
        G         文件的属组是否改变
        T         文件的修改时间是否改变

对于缺失的命。但是不清楚的情况下重新安装。对于系统命令可以使用：yum whatprovides command 来查询对应的包名，或者可以使用：yum provides command查看提供命令的包。

删除创建的公钥文件，防止被远程利用登录，但是删除文件的时候发现有附加的权限。需要通过chattr去除对应的附加权限，还可以通过find 命令查找过修chattr权限的，find 目录 -newermt “时间” ! -newermt "时间" -type f -exec lsattr {} \; 去除对应的权限：find 目录 -newermt “时间” ! -newermt "时间" -type f -exec chattr -ai {} \;

笔记参照原文地址：http://www.hackdig.com/08/hack-459854.htm