Xmrig挖矿木马之暴力分析！

前提：某天腾讯云发来一封邮件来提醒，自己的服务器中木马了。根据邮件中的提示，把疑似木马的程序tsm64拷贝下来，上传到vt上，确认是木马。好了，开始分析它。

一、初步定位恶意程序在系统中的痕迹

首先，通过命令“find / -name “tsm64” “全局搜索这个恶意样本存储在哪个目录，最后在/tmp/.X25-unix/.rsync/c目录下发现了它。浏览整个.rsync目录，发现都是恶意样本相关的文件，于是将其打包下载到本地进行分析。对该目录的子目录和文件进行分析，得到以下信息：

1. tddwrt7s.sh为起点，该脚本通过curl从远端下载dota3.tar.gz并解压，再调用initall进行初始化。

 

2. Initall脚本先执行init脚本，再执行init2脚本。init脚本将dota3.tar.gz解压出的.configrc目录复制到root目录下，并在后台执行a目录下的init0脚本（github上分享的一个专杀矿工进程的脚本）清除主机可能已经存在的矿工进程，后台运行a与b目录下的a脚本和c目录下的start脚本，再设置每分钟检查执行cron.d脚本（自己生成的），该脚本将a目录下upd脚本和b目录下的sync脚本设置为每次系统重启后执行。

 

3. Init2脚本前面的工作与init相同，略过 。

4. a目录下的upd脚本会执行run脚本，而run脚本会先执行stop脚本停止上一轮该系列脚本的工作（相当于为新一轮脚本执行做准备），重点是其会执行恶意的可执行文件kswapd0。在Linux中，kswapd0进程是用来管理虚拟内存的。kswapd0 移动内存的过程就会造成 CPU 的大量使用，所以该恶意程序通过伪装成kswapd0进程来规避管理员怀疑其大量耗用CPU资源的行为。

5. b目录下的run脚本会将一个固定ssh rsa密钥存储在 ~/.ssh/authorized_keys中实现持久化控制访问我的服务器。

 

6. C目录下的aptitude脚本执行go脚本，而go脚本会执行tsm脚本。Tsm脚本会根据服务器系统的位数而选择执行恶意可执行文件tsm32还是tsm64 。

.rsync目录下各脚本调用关系如下图所示：