from: https://vms.drweb.com/virus/?i=15455134&lng=en

Linux.Siggen.180
Added to Dr.Web virus database: 2017-07-05
Virus description was added: 2017-07-05

Technical Information

To ensure autorun and distribution:

Creates or modifies the following files:

  • /etc/init.d/acpidtd
  • /etc/rc.d/rc*.d/S01acpidtd

Creates or modifies the following symlinks:

  • /etc/rc0.d/S01acpidtd
  • /etc/rc1.d/S01acpidtd
  • /etc/rc2.d/S01acpidtd
  • /etc/rc3.d/S01acpidtd
  • /etc/rc4.d/S01acpidtd
  • /etc/rc5.d/S01acpidtd
  • /etc/rc6.d/S01acpidtd

Malicious functions:

Launches itself as a daemon
Replaces the following system files:

  • /bin/ss
  • /bin/netstat

Launches processes:

  • sh -c /tmp/tmpnam_PGNdDO upgrade;sleep 1;rm -f /tmp/tmpnam_PGNdDO
  • /tmp/tmpnam_PGNdDO upgrade
  • /bin/sh ##which ss 1>/dev/null 2>&1
  • which ss
  • /bin/sh ##which ss
  • /bin/sh ##which netstat 1>/dev/null 2>&1
  • which netstat
  • /bin/sh ##chattr -i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat 1>/dev/null 2>&1
  • chattr -i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat
  • /bin/sh ##cp -f /tmp/tmpnam_PGNdDO /bin/ddus-uidge
  • cp -f /tmp/tmpnam_PGNdDO /bin/ddus-uidgen
  • cp -f /bin/ddus-uidgen /etc/init.d/acpidtd
  • /bin/sh ##chmod +x /bin/scss 1>/dev/null 2>&1;
  • chmod +x /bin/scss
  • ##cp -f /tmp/tmpnam_PGNdDO /bin/ss 1>/dev/null 2>&1;touch -r /bin/sh /bin/ss /bin/scss 1>/dev/null 2>&1;
  • ln -fs /etc/init.d/acpidtd /etc/rc0.d/S01acpidtd
  • cp -f /tmp/tmpnam_PGNdDO /bin/ss
  • ln -fs /etc/init.d/acpidtd /etc/rc1.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc2.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc3.d/S01acpidtd
  • touch -r /bin/sh /bin/ss /bin/scss
  • ln -fs /etc/init.d/acpidtd /etc/rc4.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc5.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc6.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc0.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc1.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc2.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc3.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc4.d/S01acpidtd
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc5.d/S01acpidtd
  • /bin/sh ##chattr +i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat 1>/dev/null 2>&1
  • ln -fs /etc/init.d/acpidtd /etc/rc.d/rc6.d/S01acpidtd
  • chattr +i /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd /bin/ss /bin/scss /bin/netstat /bin/scnetstat
  • touch -r /bin/sh /bin/ddus-uidgen /etc/init.d/acpidtd /etc/rc.d/rc*.d/S01acpidtd
  • /bin/sh ##chmod +x /bin/scnetstat 1>/dev/null 2>&1;
  • chmod +x /bin/scnetstat
  • ##cp -f /tmp/tmpnam_PGNdDO /bin/netstat 1>/dev/null 2>&1;touch -r /bin/sh /bin/netstat /bin/scnetstat 1>/dev/null 2>&1;
  • cp -f /tmp/tmpnam_PGNdDO /bin/netstat
  • touch -r /bin/sh /bin/netstat /bin/scnetstat
  • sleep 1
  • rm -f /tmp/tmpnam_PGNdDO

Performs operations with the file system:

Modifies file access rights:

  • /tmp/tmpnam_PGNdDO
  • /bin/scss
  • /bin/scnetstat

Creates or modifies files:

  • /tmp/tmpnam_PGNdDO
  • /bin/ddus-uidgen
  • /bin/scss
  • /bin/scnetstat

Deletes files:

  • /tmp/tmpnam_PGNdDO

Network activity:

Establishes connection:

  • 16#.##.30.212:3646
  • 11#.##.33.59:2382
  • 58.##.32.135:8534
  • 22#.##.116.233:8414
  • 22#.###.214.158:9803

DNS ASK:

  • 12#.211
  • 22#.204
  • wi###o1n3.pw

from: https://yq.aliyun.com/ask/57692

wipefs是linux自带的程序,用来擦除文件系统数据,也就是下面那个人回答的。正常的wipefs,路径在/usr/bin/wipefs,如果你没有做设置,不会自启动,也不会大量占用cpu。你可以看一下是否是 /bin/wipefs 进程,如果是,应该是你的机器被黑了,这是别人在你机器上放了挖矿程序。

此程序会:
1.进行挖矿计算,大量占用cpu。
2.复制自己到/bin/wipefs,创建服务/etc/init.d/wipefs,在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
3.释放子程序到 /bin/ddus-uidgen,创建服务/etc/init.d/acpidtd,并在 /etc/rc.d 和 /etc/rc.d/rc.d 中创建链接以实现开机启动。
4.修改/etc/resolv.conf, 可能是为其连接矿机服务的域名做服务。
5.修改/etc/crontab, 为自己创建定时任务,每天12点与0点开始执行。(所以你会发现第二天又启动了)

你需要做的:
1.删除 /etc/crontab 中的定时任务。
2.删除以下文件:

/bin/wipefs
/etc/init.d/wipefs
/bin/ddus-uidgen
/etc/init.d/acpidtd
/etc/rc0.d/S01wipefs
/etc/rc1.d/S01wipefs
/etc/rc2.d/S01wipefs
/etc/rc3.d/S01wipefs
/etc/rc4.d/S01wipefs
/etc/rc5.d/S01wipefs
/etc/rc6.d/S01wipefs
/etc/rc.d/rc0.d/S01wipefs
/etc/rc.d/rc1.d/S01wipefs
/etc/rc.d/rc2.d/S01wipefs
/etc/rc.d/rc3.d/S01wipefs
/etc/rc.d/rc4.d/S01wipefs
/etc/rc.d/rc5.d/S01wipefs
/etc/rc.d/rc6.d/S01wipefs
/etc/rc0.d/acpidtd
/etc/rc1.d/acpidtd
/etc/rc2.d/acpidtd
/etc/rc3.d/acpidtd
/etc/rc4.d/acpidtd
/etc/rc5.d/acpidtd
/etc/rc6.d/acpidtd
/etc/rc.d/rc0.d/acpidtd
/etc/rc.d/rc1.d/acpidtd
/etc/rc.d/rc2.d/acpidtd
/etc/rc.d/rc3.d/acpidtd
/etc/rc.d/rc4.d/acpidtd
/etc/rc.d/rc5.d/acpidtd
/etc/rc.d/rc6.d/acpidtd

检查机器漏洞,ssh权限,防火墙等,避免机器再次被攻击。

Linux.Siggen.180的更多相关文章

  1. OracleOCP认证 之 Linux基础

    Linux 基础 一.SHELL 1: Shell 简介 shell 是用户和Linux 操作系统之间的接口.Linux 中有多种shell, 其中缺省使用的是bash. Linux 系统的shell ...

  2. Linux 驱动开发

    linux驱动开发总结(一) 基础性总结 1, linux驱动一般分为3大类: * 字符设备 * 块设备 * 网络设备 2, 开发环境构建: * 交叉工具链构建 * NFS和tftp服务器安装 3, ...

  3. 开源企业IM-免费企业即时通讯-ENTBOOST V2014.180 Linux版本号正式公布

    ENTBOOST,VERSION 2014.180 Linux版本号公布,主要添加企业IM应用集成功能,完好安卓SDK功能及部分BUG修正: 7/1(明天)公布Windows版本号,敬请关注! ENT ...

  4. Linux基础介绍【第四篇】

    Linux文件和目录的属性及权限 命令: [root@oldboy ~]# ls -lhi total 40K 24973 -rw-------. 1 root root 1.1K Dec 10 16 ...

  5. Linux基础介绍【第三篇】

    更改SSH服务端远程登录的配置 windows服务端的默认远程管理端口是3389,管理员用户是administrator,普通用户是guest.Linux的管理用户是root,普通用户默认有很多个,远 ...

  6. Linux网络属性配置

    目录 IP地址分类 如何将Linux主机接入到网络中 网络接口的命名方式 ifcfg系列命令 如何配置主机名 如何配置DNS服务器指向 iproute2系列命令 Linux管理网络服务 永久生效配置路 ...

  7. Linux设备文件简介(转载)

    Linux 中的设备有2种类型:字符设备(无缓冲且只能顺序存取).块设备(有缓冲且可以随机存取).每个字符设备和块设备都必须有主.次设备号,主设备号相同的设 备是同类设备(使用同一个驱动程序).这些设 ...

  8. CentOS(5.8/6.7)linux生产环境若干优化实战

    CentOS系统安装之后并不能立即投入生产环境使用,往往需要先经过我们运维人员的优化才行.在此讲解几点关于Linux系统安装后的基础优化操作.注意:本次优化都是基于CentOS(5.8/6.7). 下 ...

  9. Linux程序包管理之yum及源代码安装

    第十六章.Linux程序包管理之yum及源代码安装 目录 yum介绍 yum配置文件 yum的repo配置文件中可用的变量 yum命令的使用 使用光盘作为本地yum仓库 如何创建yum仓库 编译安装的 ...

随机推荐

  1. CentOS下搭建LNMP+WordPress+http2.0教程

    此文是本人CentOS下搭建WordPress的一些笔记,环境搭建时间::将看过的几篇文章总结下来,形成一条龙长文.不用大家再找来找去. 本文大概分为此几部分: 一.基础命令更新: 二.服务器加速(非 ...

  2. jq 选择器基础及拓展

    jquery 用的很多,所以jq的选择器就很受欢迎,但是用的过程中有一些小问题,如果不点透就永远不知道. 1:ID选择器:$("#ID"); 得到一个指定对应,并且只能得到一个对象 ...

  3. HTTP 筛选器 DLL C:\Windows\Microsoft.Net\Framework\v4.0.30319\aspnet_filter.dll 加载失败。数据是错误。

    今天在一台win2003的云主机上,安装.net 4.0时,所有的网站都打不开了.打开事件查看器,发现以下错误: HTTP 筛选器 DLL C:\Windows\Microsoft.Net\Frame ...

  4. elastic search远程测试

    elastic search远程测试 推荐:elastic官方教程:https://www.elastic.co/guide/en/elasticsearch/reference/6.2/index. ...

  5. 【我的Android进阶之旅】如何隐藏Android中EditText控件的默认下划线

    Android EditText控件是经常使用的控件,但是有时候我们并不需要它的一些默认的属性,比如说下划线,因为有时候这样的默认下划线看起来特别怪异,和其他控件在一起搭配的时候不协调,因此有时候就需 ...

  6. hibernate自动建表之engine设置

    1.MYSQL的数据库引擎中,只有InnoDB和BDB(Berkley DB )包括了对事务处理和外键的支持.如果数据引擎建为MyISAM则rollback无效. 2.而hibernate自动建表的时 ...

  7. HDU1506: Largest Rectangle in a Histogram(最大子矩阵,好题动态优化左右边界)

    题目:http://acm.hdu.edu.cn/showproblem.php?pid=1506 刚开始没考虑时间复杂度,直接敲了,直接tle了,之后没有思路,然后看题解,看见大神写的优化非常棒. ...

  8. Excel常见操作,重复数据,去除数据关联

    Eecel对一个数据进行操作后按住右下角的十字架往下拉就可以对下面的操作进行相同 的操作,所以只需先对一个数据进行操作,再拉下来就可以了 通过公式处理的数据跟其它数据有关联 需要对这些数据进行去除它们 ...

  9. Django-form进阶+详细版

    Django的Form主要具有一下几大功能: 生成HTML标签 验证用户数据(显示错误信息) HTML Form提交保留上次提交数据 初始化页面显示内容 一.创建Form类 #!/usr/bin/en ...

  10. Codeforces Round #305 (Div. 2)

    C. Mike and Frog 题意:有一只青蛙和一朵花,分别高度为h1.h2,每浇一次水,h1=(x1*h1+y1)mod m,h2=(x2*h2+y2)mod m.求最少浇多少次后h1=a1,h ...