对学校服务器挖矿木马的一次逆向分析

文章预览

前不久，学弟突然找上了我，说学校分配的服务器被人种了挖矿木马，心中一听顿时一惊。 内网一台服务器的沦陷的话，可能其它服务器也遭黑手了（ 可惜我不是应急响应大神，加上学校对网安这块不太重视，我也没资格上人家的服务器看一看情 况， 只能让学弟把软件发给我。） 一共有两个文件，其中名字分别为： 其中会定期执行-bash文件： 但是由于学弟那边排查占用率最高的是python2.8文件，所以先用ida打开，查找字符串发现： 好家伙，xmrig，于是校验一波hash。 可以发现就是xmrig6.21.3 版本，于是我问了问被入侵的时间，结果是6月9号左右，那个时候xmrig还没更新6.21.3版本，好家伙，到被发现快有1个月了，既然确定了python2.8的真身，接下来就要开始分析-bash文件了。 可以看到被upx压缩了，于是打算upx -d脱壳，结果： 网上搜了搜，大多都是在说 ………………………………