Linux.Siggen.180
from: https://vms.drweb.com/virus/?i=15455134&lng=en
Linux.Siggen.180
Added to Dr.Web virus database: 2017-07-05
Virus description was added: 2017-07-05
Technical Information
To ensure autorun and distribution:
Creates or modifies the following files:
- /etc/init.d/acpidtd
- /etc/rc.d/rc*.d/S01acpidtd
Creates or modifies the following symlinks:
- /etc/rc0.d/S01acpidtd
- /etc/rc1.d/S01acpidtd
- /etc/rc2.d/S01acpidtd
- /etc/rc3.d/S01acpidtd
- /etc/rc4.d/S01acpidtd
- /etc/rc5.d/S01acpidtd
- /etc/rc6.d/S01acpidtd
Malicious functions:
Launches itself as a daemon
Replaces the following system files:
- /bin/ss
- /bin/netstat
Launches processes:
- sh -c /tmp/tmpnam_PGNdDO upgrade;sleep 1;rm -f /tmp/tmpnam_PGNdDO
- /tmp/tmpnam_PGNdDO upgrade
- /bin/sh ##which ss 1>/dev/null 2>&1
- which ss
- /bin/sh ##which ss
- /bin/sh ##which netstat 1>/dev/null 2>&1
- which netstat
- /bin/sh ##chattr -i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat 1>/dev/null 2>&1
- chattr -i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat
- /bin/sh ##cp -f /tmp/tmpnam_PGNdDO /bin/ddus-uidge
- cp -f /tmp/tmpnam_PGNdDO /bin/ddus-uidgen
- cp -f /bin/ddus-uidgen /etc/init.d/acpidtd
- /bin/sh ##chmod +x /bin/scss 1>/dev/null 2>&1;
- chmod +x /bin/scss
- ##cp -f /tmp/tmpnam_PGNdDO /bin/ss 1>/dev/null 2>&1;touch -r /bin/sh /bin/ss /bin/scss 1>/dev/null 2>&1;
- ln -fs /etc/init.d/acpidtd /etc/rc0.d/S01acpidtd
- cp -f /tmp/tmpnam_PGNdDO /bin/ss
- ln -fs /etc/init.d/acpidtd /etc/rc1.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc2.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc3.d/S01acpidtd
- touch -r /bin/sh /bin/ss /bin/scss
- ln -fs /etc/init.d/acpidtd /etc/rc4.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc5.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc6.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc0.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc1.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc2.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc3.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc4.d/S01acpidtd
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc5.d/S01acpidtd
- /bin/sh ##chattr +i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat 1>/dev/null 2>&1
- ln -fs /etc/init.d/acpidtd /etc/rc.d/rc6.d/S01acpidtd
- chattr +i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat
- touch -r /bin/sh /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd
- /bin/sh ##chmod +x /bin/scnetstat 1>/dev/null 2>&1;
- chmod +x /bin/scnetstat
- ##cp -f /tmp/tmpnam_PGNdDO /bin/netstat 1>/dev/null 2>&1;touch -r /bin/sh /bin/netstat /bin/scnetstat 1>/dev/null 2>&1;
- cp -f /tmp/tmpnam_PGNdDO /bin/netstat
- touch -r /bin/sh /bin/netstat /bin/scnetstat
- sleep 1
- rm -f /tmp/tmpnam_PGNdDO
Performs operations with the file system:
Modifies file access rights:
- /tmp/tmpnam_PGNdDO
- /bin/scss
- /bin/scnetstat
Creates or modifies files:
- /tmp/tmpnam_PGNdDO
- /bin/ddus-uidgen
- /bin/scss
- /bin/scnetstat
Deletes files:
- /tmp/tmpnam_PGNdDO
Network activity:
Establishes connection:
- 16#.##.30.212:3646
- 11#.##.33.59:2382
- 58.##.32.135:8534
- 22#.##.116.233:8414
- 22#.###.214.158:9803
DNS ASK:
- 12#.211
- 22#.204
- wi###o1n3.pw
from: https://yq.aliyun.com/ask/57692
wipefs是linux自带的程序,用来擦除文件系统数据,也就是下面那个人回答的。正常的wipefs,路径在/usr/bin/wipefs,如果你没有做设置,不会自启动,也不会大量占用cpu。你可以看一下是否是 /bin/wipefs 进程,如果是,应该是你的机器被黑了,这是别人在你机器上放了挖矿程序。
此程序会:
1.进行挖矿计算,大量占用cpu。
2.复制自己到/bin/wipefs,创建服务/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
3.释放子程序到 /bin/ddus-uidgen,创建服务/etc/init.d/acpidtd,并在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
4.修改/etc/resolv.conf, 可能是为其连接矿机服务的域名做服务。
5.修改/etc/crontab, 为自己创建定时任务,每天12点与0点开始执行。(所以你会发现第二天又启动了)
你需要做的:
1.删除 /etc/crontab 中的定时任务。
2.删除以下文件:
/bin/wipefs
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/S01wipefs
/etc/rc1.d/S01wipefs
/etc/rc2.d/S01wipefs
/etc/rc3.d/S01wipefs
/etc/rc4.d/S01wipefs
/etc/rc5.d/S01wipefs
/etc/rc6.d/S01wipefs
/etc/rc.d/rc0.d/S01wipefs
/etc/rc.d/rc1.d/S01wipefs
/etc/rc.d/rc2.d/S01wipefs
/etc/rc.d/rc3.d/S01wipefs
/etc/rc.d/rc4.d/S01wipefs
/etc/rc.d/rc5.d/S01wipefs
/etc/rc.d/rc6.d/S01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd
检查机器漏洞,ssh权限,防火墙等,避免机器再次被攻击。
Linux.Siggen.180的更多相关文章
- OracleOCP认证 之 Linux基础
Linux 基础 一.SHELL 1: Shell 简介 shell 是用户和Linux 操作系统之间的接口.Linux 中有多种shell, 其中缺省使用的是bash. Linux 系统的shell ...
- Linux 驱动开发
linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...
- 开源企业IM-免费企业即时通讯-ENTBOOST V2014.180 Linux版本号正式公布
ENTBOOST,VERSION 2014.180 Linux版本号公布,主要添加企业IM应用集成功能,完好安卓SDK功能及部分BUG修正: 7/1(明天)公布Windows版本号,敬请关注! ENT ...
- Linux基础介绍【第四篇】
Linux文件和目录的属性及权限 命令: [root@oldboy ~]# ls -lhi total 40K 24973 -rw-------. 1 root root 1.1K Dec 10 16 ...
- Linux基础介绍【第三篇】
更改SSH服务端远程登录的配置 windows服务端的默认远程管理端口是3389,管理员用户是administrator,普通用户是guest.Linux的管理用户是root,普通用户默认有很多个,远 ...
- Linux网络属性配置
目录 IP地址分类 如何将Linux主机接入到网络中 网络接口的命名方式 ifcfg系列命令 如何配置主机名 如何配置DNS服务器指向 iproute2系列命令 Linux管理网络服务 永久生效配置路 ...
- Linux设备文件简介(转载)
Linux 中的设备有2种类型:字符设备(无缓冲且只能顺序存取).块设备(有缓冲且可以随机存取).每个字符设备和块设备都必须有主.次设备号,主设备号相同的设 备是同类设备(使用同一个驱动程序).这些设 ...
- CentOS(5.8/6.7)linux生产环境若干优化实战
CentOS系统安装之后并不能立即投入生产环境使用,往往需要先经过我们运维人员的优化才行.在此讲解几点关于Linux系统安装后的基础优化操作.注意:本次优化都是基于CentOS(5.8/6.7). 下 ...
- Linux程序包管理之yum及源代码安装
第十六章.Linux程序包管理之yum及源代码安装 目录 yum介绍 yum配置文件 yum的repo配置文件中可用的变量 yum命令的使用 使用光盘作为本地yum仓库 如何创建yum仓库 编译安装的 ...
随机推荐
- IOS无限自动循环滚动banner(源码)
本文转载至 http://blog.csdn.net/iunion/article/details/19080259 目前有很多APP都开始使用一些滚动banner,我自己也做了一个,部分算法没有深 ...
- manacher算法处理最长的回文子串(一)
引言 相信大家都玩过折叠纸张,如果把回文串相当于折叠一个A4纸,比如ABCDDCBA就是沿着中轴线(D与D之间)对折重合,那么这个就是一个回文串.或者是ABCDEDCBA的中轴线就是E,那么沿着中轴线 ...
- 【BZOJ3673/3674】可持久化并查集/可持久化并查集加强版 可持久化线段树
[BZOJ3674]可持久化并查集加强版 Description Description:自从zkysb出了可持久化并查集后……hzwer:乱写能AC,暴力踩标程KuribohG:我不路径压缩就过了! ...
- 【BZOJ3798】特殊的质数 分块打表
[BZOJ3798]特殊的质数 Description 求[A,B]之间的质数个数,并且满足X=Q^2+P^2,P,Q是正整数. Input 第一行输入A,B Output 输出有多少组P,Q满足条件 ...
- [hihoCoder] 拓扑排序·一
The hints of the problem has given detailed information to implement the topological sorting algorit ...
- 推荐一个CSS类库
animate.css 一个封装好的动画效果类
- Qunit 和 jsCoverage使用方法(js单元测试)
Qunit 和 jsCoverage使用方法(js单元测试) 近日在网上浏览过很多有关js单元测试相关的文档,工具,但是,针对Qunit 和 jsCoverage使用方法,缺少详细说明,对于初入前端的 ...
- CNI Proposal 摘要
原文连接:https://github.com/containernetworking/cni/blob/master/SPEC.md General consideration CNI的想法是先让容 ...
- (4.17)sql server中的uuid获取与使用
sql server中的uuid 建表: 1.自增长 studentno int primary key identity(1,1)——bigint也是可以的 2.创建uuidcustomerid ...
- python中decorator的用法及原理(一)
0. 概念 什么叫装饰器,其实也可以叫做包装器.即对于一个既有的函数func(args),在调用它之前和之后,我们希望都做一些事情,把这个函数包装起来. Python中的装饰器分为两类:函数装饰器和类 ...