Datei&ProzessCleaner.sh SH Script zur Datei / Prozesssuche und statistischen Erfassung

  • Hallo ihr lieben, da ich schon öfters einen rettenden Tip hier im Forum
    erbeuten konnte und bei meiner aktuellen Problematik leider nicht wirklich
    etwas hilfreiches oder für mich verständliches gefunden habe..

    Ja genau nun habe ich einen Account und ihr habt mich an der Backe :D

    Ich hoffe das ich hier zumindest ab und an evtl auch einen kleinen Teil
    zurückgeben kann mit meinem Wissen. Mein Schwerpunkt liegt absolut bei:

    Malware, Botnetzen, Trojanern, Viren, Würmern eben alles was sich um
    Programme, Scripte oder sonstige im Speicher geisternden Dinge die man
    absolut nicht gebrauchen kann und sich nicht einfangen will...


    ZUM VERSTÄNDNISS: ich setze keine Botnetze auf ich bringe durchaus mal
    ein kleines unter meine Kontrolle und schicke es ohne Tam Tam in Rente.
    Ich mache nichts lieber als ein System zu durchsuchen bis ich das gefunden
    habe was der Systembetreiber nicht dort haben möchte. In den letzten Jahren
    ist die Pallette der kleinen Kobolde so extrem gewachsen das ich dieses
    logisch auch nicht mehr per Hand ausführe, ich greife auch gerne auf etwas
    vorhandenes zurück und implementiere es so möglich..

    Den absoluten Narren habe ich zur zeit am Thema Cryptojacking gefressen,
    genauer gesagt habe ich mir kinsing genauer angeschaut. wem es nichts sagt
    kurz google und gut.


    Die erste begegnung mit einem solchen.. "wurmartigen" miner versetzte mich
    echt in den absoluten Jagttrieb, ohne plan von cryptowährungen in meiner
    kurzen Hose störte mich natürlich nach erfolgter analyse von ca 5 versionen
    kinsing das ich jedesmal das gleiche zur beseitigung zu tun hatte. es ist
    auch nicht sonderlich schwer es zu entfernen.. jedoch ist der botmaster in
    dem fall echt nicht faul... erst redis dann docker api dann kubernets und
    weis der geier was noch...


    mehr oder weniger kurz gesagt ich habe diverse scriptlösungen geschrieben
    um kinsing und seinen miner zu entfernen und ggf einen reinfect des systems
    zu verhindern.


    logisch gab es auf meiner jagt auch eine menge beifang..

    kameraden wie agentty, ash_zipper, dtf.sh, kswapd0, luk.cpu, ngrok.io, sh.sh,
    powerofwish vodlticezzFA blah blah blah die brüder sind nicht faul und ich
    mache es ihnen mittels scripts ein bisschen schwerer...


    UND NUN ZUM EIGENTLICHEN PROBLEM: ich will natürlich gerne wissen wann wo
    wieviele schädlinge beseitigt wurden um einen genaueren überblick zu bekommen.
    bei kinsing habe ich versucht es auf diese art zu lösen (seid lieb ich code freestyle

    implementiere gern (klauen via C&P klingt auch böse ^^)

    das klappt solala.. aber es zählt nur laufende prozesse.. kinsing lässt aber
    zu hauf dateileichen rumligen und diese möchte ich auch mit in meiner kleine
    statistik aufnehmen.

    es sind mir zwar ettliche pfadangaben bekannt die gerne benutzt werden zb.

    Code
    rm -f /root/kinsing*
    rm -f /tmp/kinsing*
    rm -f /etc/kinsing*
    rm -f /root/kdevtmpfsi
    rm -f /tmp/kdevtmpfsi
    rm -f /etc/kdevtmpfsi

    das würde ich mit hängen und würgen auch noch gezählt bekommen, nur begreife
    ich absolut nicht wie ich zb folgendes command dazu bekomme das es mitzählt
    und den counter zuverlässig füttert:

    Code
    find / -name 'kinsing*' -exec rm -rv {} \;
    find / -name 'kdevtmpfsi' -exec rm -rv {} \;
    find / -name 'sysupdata' -exec rm -rv {} \;
    find / -name 'sysguerd' -exec rm -rv {} \;

    ich hab google wirklich schon belästigt und ich könnte mir ausgeben lassen wie
    lange die suche läuft meinetwegen auch wieviel ram dabei benötigt wird xD nutzt
    mir aber alles nichts ich möchte die gefundenen und gelöschten dateien statistisch
    erfassen (es ist eine anzahl von ca ~ 150 dateien)

    das ist das nächste problem warum ich es nicht geschissen bekomme, es sind einige
    dateien die gesucht und ggf gelöscht werden und das sollte das system nicht zu
    stark in anspruch nehmen. ich möchte das dieses script wenn fertig als nützlich
    und helfend empfunden wird und das tut es sicher nicht wenn es stundenlang nach
    dem Schädling sucht wieder und wieder und dabei mit dem Schädling zusammen das
    system noch mehr ausbremst.

    daher mein anliegen: hat jemand eine idee wie ich das möglichst geschmeidig
    umsetzen kann? die dateinamen, hashwerte, strings der schädlinge liegen im
    grunde in beliebiger form vor.

    PS: auf anfrage teile ich gerne mein bisheriges arbeitsmaterial, sprich clean.scripte,
    gefundenen / gesammelte schädlings binarys und installer, wallet-adressen, C&C ServerURLs
    und eben alles was die studienobjekte bis jetzt hergegeben haben.

    PPS: in den netzwerken befreundeter admins haben meine noch unsauberen scripts in weniger
    als 10 tagen dennoch über 10000 beendete kinsing prozesse gezählt. (für den fall das meine
    schleife da richtig zählt :D) ich würde es wirklich gerne in eine saubere stabile form
    bringen und dann ohne name, ohne copyright publizieren. jedoch führt kein weg an der
    statistik vorbei... der botmaster sagt mir nicht wie groß sein netzwerk ist.. darum
    muss ich ja bei der beseitigung mitzählen.

    warum mir das so wichtig ist? nun einfach neugier! wenn ich shodan und der gleichen
    abfrage dann wird mir schlecht.. genau so schlecht wie wenn ich auf meinem server
    einen honigtopf vor port 22 stelle... sagen wir es so ich möchte mich sinnvoll dem
    digitalen umweltschutz widmen.


    vielen dank für eure zeit die ihr euch zum lesen genommen habt
    und noch 1000 mal mehr dankeschön für ggf den einen oder anderen
    lösungsansatz der mir hilft das projekt von der alpha weg zu bringen

    :-)


    grüsse Christian

    Für den Inhalt des Beitrages 279200 haftet ausdrücklich der jeweilige Autor: PortJoe