中奖usb_bus

前几天公网的设备中奖了,中奖原因是因为设备系统从centos6换centos7了,一个新员工过来安装的系统,账号密码很简单,root权限也是开放的,结果老外很喜欢强连这些ssh默认端口的弱密码,结果就中奖了。在bash_history找到了如下运行命令:

查了,也有中奖的,看看http://ddecode.com/hexdecoder/?results=9aa8836e04c89cd1b97e6a441d99578e 这个链接,其实gweerwe323f并无法正常运行。重要的是usb_bus是一个可执行文件。解决问题后,我也把这个usb_bus下下来做了给简单的研究。

usb_bus是一个二进制的32位可执行文件,那运行后,做的是什么操作?

后台运行了,在htop的命令下,其实看到的一个并非usb_bus的可疑进程:

lsof -i看看,这个程序是否有做一些什么不可控的连接!?结果是有的:

进程名又和htop不一样,但是PID是不会变的,从连接来看,应该是从Xeonvps.net获取一些VPS信息,然后通过ssh去连接攻击一些服务器吧。

看了下进程,还会自动销毁可执行文件,做了给隐藏!

重启虚拟机后,不会再出现运行的可疑程序,不过我是用本地vmware做复现的,不排除实体机还有一些可疑的动作。简单看了下文件目录修改时间,并没有可疑的文件被生成。应该该程序提供了一些IP及帐号密码的上报了吧。从目前来看,就是会消耗你一些CPU及带宽,而其实有些VPS的CPU及带宽是有算价格的。所以,如果网站放公网,最好还是root使用强密码或者不要开放22端口了。否则后果可能不是现在这么简单了!

转载请注明: 转载自elkPi.com

本文链接地址: 中奖usb_bus

发表评论

电子邮件地址不会被公开。 必填项已用*标注