Perfctl 进程排查记录

根据前辈所讲：

🔹 4.1 木马概况

1. 中招后，会中 rootkit，会做 权限维持，会自身隐藏等
2. 中招后，没有重启过的机器，清除需杀掉所有中招后再启动的进程
3. 中招后，重启过的机器，在清除后，需要立马重启
4. 需要下载 busybox 来做清除
5. 目前看到的行为是 植入各种流量代理，用于挂机赚收益

🔹 4.2 木马开始阶段

大多为 暴力破解，成功后开始：

1. 检查当前系统是否是 x86_64 架构，如果不是则退出脚本。
2. 如果 /tmp 目录不存在，创建该目录并将权限设置为 777（即允许所有用户读、写和执行）。
3. 检查 /tmp 是否挂载了 noexec 选项（即不允许执行），如果是，重新挂载 /tmp 使其可以执行。
4. 移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。
5. 在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia，这些可能是恶意脚本或工具的存放位置。
6. 通过 curl 下载一个文件（ordens.php）到 /tmp/httphxx。
7. 再通过 curl 将文件下载到 /tmp/httpd 目录中。
8. 最后执行。

🔹 4.3 木马行为

1. 释放文件

2. 权限维持：

   • a. 伪造自身为系统常驻进程名
   • b. 替换常用命令
   • c. 权限维持

3. rootkit 分析：

   • a. 隐藏命令返回与主程序相关内容
   • b. 利用常驻进程维持权限
   • c. 恢复自身主程序

🔹 4.4 其他分析

👉 见 相关报告