查毒
systemctl list-units --type=service --state=running
UNIT LOAD ACTIVE SUB DESCRIPTION
accounts-daemon.service loaded active running Accounts Service
acpid.service loaded active running ACPI event daemon
avahi-daemon.service loaded active running Avahi mDNS/DNS-SD Stack
colord.service loaded active running Manage, Install and Generate Color Profiles
containerd.service loaded active running containerd container runtime
systemctl status systemd-sclide.service
这个命令会显示:
该服务的当前状态(是否活跃、运行了多久)。
它的主进程PID和命令行路径。这是最关键的信息!
● systemd-sclide.service - Example systemd service.
Loaded: loaded (/etc/systemd/system/systemd-sclide.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2023-10-10 10:00:00 UTC; 1 weeks 0 days ago
Main PID: 15266 (sclide)
Tasks: 1 (limit: 4915)
Memory: 10.0M
CNAME: systemd-sclide.service
CPU: 10h 23min 12.345s
CGroup: /system.slice/systemd-sclide.service
└─15266 /usr/local/bin/sclide --config /etc/sclide/config.json
Main PID 后面的数字(例如 15266)。
Loaded 行中显示的服务文件路径(例如 /etc/systemd/system/systemd-sclide.service)。
进程的完整路径(例如 /usr/local/bin/sclide)。
查看这个服务的定义文件,里面可能包含启动恶意程序的命令。
cat /etc/systemd/system/systemd-sclide.service
[Unit]
Description=Example systemd service.
[Service]
Type=forking
ExecStart=/usr/bin/udeb
Restart=always
RestartSec=5s
SuccessExitStatus=SIGHUP
TimeoutStartSec=6000
KillMode=control-group
StandardOutput=null
StandardError=null
[Install]
恶意服务分析
恶意二进制文件:ExecStart=/usr/bin/udeb
udeb 通常用于Debian安装程序的微包,绝不会作为一个正常的系统服务二进制文件。这是一个明显的伪装。
持久化配置:
Restart=always 和 RestartSec=5s:确保挖矿进程被意外杀死后,5秒内会自动重启,实现高强度的持久化。
Type=forking:常见的后台守护进程类型。
隐藏输出:StandardOutput=null 和 StandardError=null 将进程的所有输出重定向到空设备,避免在日志中留下痕迹。
第1步:停止并禁用服务(防止重启)
sudo systemctl stop systemd-sclide.service
sudo systemctl disable systemd-sclide.service
第2步:删除服务文件并重新加载systemd
sudo rm /etc/systemd/system/systemd-sclide.service
sudo systemctl daemon-reload
第3步:删除恶意二进制文件
sudo rm -f /usr/bin/udeb