Hallo ihr lieben, da ich schon öfters einen rettenden Tip hier im Forum
erbeuten konnte und bei meiner aktuellen Problematik leider nicht wirklich
etwas hilfreiches oder für mich verständliches gefunden habe..
Ja genau nun habe ich einen Account und ihr habt mich an der Backe 
Ich hoffe das ich hier zumindest ab und an evtl auch einen kleinen Teil
zurückgeben kann mit meinem Wissen. Mein Schwerpunkt liegt absolut bei:
Malware, Botnetzen, Trojanern, Viren, Würmern eben alles was sich um
Programme, Scripte oder sonstige im Speicher geisternden Dinge die man
absolut nicht gebrauchen kann und sich nicht einfangen will...
ZUM VERSTÄNDNISS: ich setze keine Botnetze auf ich bringe durchaus mal
ein kleines unter meine Kontrolle und schicke es ohne Tam Tam in Rente.
Ich mache nichts lieber als ein System zu durchsuchen bis ich das gefunden
habe was der Systembetreiber nicht dort haben möchte. In den letzten Jahren
ist die Pallette der kleinen Kobolde so extrem gewachsen das ich dieses
logisch auch nicht mehr per Hand ausführe, ich greife auch gerne auf etwas
vorhandenes zurück und implementiere es so möglich..
Den absoluten Narren habe ich zur zeit am Thema Cryptojacking gefressen,
genauer gesagt habe ich mir kinsing genauer angeschaut. wem es nichts sagt
kurz google und gut.
Die erste begegnung mit einem solchen.. "wurmartigen" miner versetzte mich
echt in den absoluten Jagttrieb, ohne plan von cryptowährungen in meiner
kurzen Hose störte mich natürlich nach erfolgter analyse von ca 5 versionen
kinsing das ich jedesmal das gleiche zur beseitigung zu tun hatte. es ist
auch nicht sonderlich schwer es zu entfernen.. jedoch ist der botmaster in
dem fall echt nicht faul... erst redis dann docker api dann kubernets und
weis der geier was noch...
mehr oder weniger kurz gesagt ich habe diverse scriptlösungen geschrieben
um kinsing und seinen miner zu entfernen und ggf einen reinfect des systems
zu verhindern.
logisch gab es auf meiner jagt auch eine menge beifang..
kameraden wie agentty, ash_zipper, dtf.sh, kswapd0, luk.cpu, ngrok.io, sh.sh,
powerofwish vodlticezzFA blah blah blah die brüder sind nicht faul und ich
mache es ihnen mittels scripts ein bisschen schwerer...
UND NUN ZUM EIGENTLICHEN PROBLEM: ich will natürlich gerne wissen wann wo
wieviele schädlinge beseitigt wurden um einen genaueren überblick zu bekommen.
bei kinsing habe ich versucht es auf diese art zu lösen (seid lieb ich code freestyle
implementiere gern (klauen via C&P klingt auch böse ^^)
ps ax|grep kinsing | grep -v find | grep -v grep >> count.txt
anzahl=`wc -l count.txt | awk {'print $1'}`
rm -f count.txt
START=1
while [ $START -le $anzahl ]; do
curl http://URL/kinsing_counter.php -o /dev/null || wget http://URL/kinsing_counter.php -O /dev/null
((N++))
donedas klappt solala.. aber es zählt nur laufende prozesse.. kinsing lässt aber
zu hauf dateileichen rumligen und diese möchte ich auch mit in meiner kleine
statistik aufnehmen.
es sind mir zwar ettliche pfadangaben bekannt die gerne benutzt werden zb.
rm -f /root/kinsing*
rm -f /tmp/kinsing*
rm -f /etc/kinsing*
rm -f /root/kdevtmpfsi
rm -f /tmp/kdevtmpfsi
rm -f /etc/kdevtmpfsidas würde ich mit hängen und würgen auch noch gezählt bekommen, nur begreife
ich absolut nicht wie ich zb folgendes command dazu bekomme das es mitzählt
und den counter zuverlässig füttert:
find / -name 'kinsing*' -exec rm -rv {} \;
find / -name 'kdevtmpfsi' -exec rm -rv {} \;
find / -name 'sysupdata' -exec rm -rv {} \;
find / -name 'sysguerd' -exec rm -rv {} \; ich hab google wirklich schon belästigt und ich könnte mir ausgeben lassen wie
lange die suche läuft meinetwegen auch wieviel ram dabei benötigt wird xD nutzt
mir aber alles nichts ich möchte die gefundenen und gelöschten dateien statistisch
erfassen (es ist eine anzahl von ca ~ 150 dateien)
das ist das nächste problem warum ich es nicht geschissen bekomme, es sind einige
dateien die gesucht und ggf gelöscht werden und das sollte das system nicht zu
stark in anspruch nehmen. ich möchte das dieses script wenn fertig als nützlich
und helfend empfunden wird und das tut es sicher nicht wenn es stundenlang nach
dem Schädling sucht wieder und wieder und dabei mit dem Schädling zusammen das
system noch mehr ausbremst.
daher mein anliegen: hat jemand eine idee wie ich das möglichst geschmeidig
umsetzen kann? die dateinamen, hashwerte, strings der schädlinge liegen im
grunde in beliebiger form vor.
Hier noch mal Stichpunktartig:
- beim start update - datei / erkennungsliste downloaden
- 150 (steigend) Dateien und Prozesse suchen und ggf löschen
- prozesse und nicht aktive dateien beim löschen zählen und erfassen
- abfrage der stats - bei mehrfachem reinfect nach zustimmung des admins
dateidummys setzen die kinsing und co blokieren (unter windows kenne ich
wege einen bestimmten dateinamen an der ausführung zu hindern, unter linux
ist mir da leider nichts bekannt. sollte jemand wissen ob und wie...bitte)
- (just so funny) ausgabe der position in der statistik. dem admin mit den meisten
schädlingen auf einem sys gebe ich bei publizierung des scripts eine kiste bier aus!
- möglichkeit das script regelmässig bei bestimmten aktionen starten zu lassen, nicht
zwingend über cronjobs. bei reinfect admin benachrichtigen über bestehendes vulnerable!
- genuzte distributionen.. naturgemäß alles was infiziert wird...
## ich bekomme alles geregelt bis auf das ressourcenschonend suchen, löschen und zählen
# für hilfestellung wäre ich echt sehr dankbar leute PS: auf anfrage teile ich gerne mein bisheriges arbeitsmaterial, sprich clean.scripte,
gefundenen / gesammelte schädlings binarys und installer, wallet-adressen, C&C ServerURLs
und eben alles was die studienobjekte bis jetzt hergegeben haben.
PPS: in den netzwerken befreundeter admins haben meine noch unsauberen scripts in weniger
als 10 tagen dennoch über 10000 beendete kinsing prozesse gezählt. (für den fall das meine
schleife da richtig zählt :D) ich würde es wirklich gerne in eine saubere stabile form
bringen und dann ohne name, ohne copyright publizieren. jedoch führt kein weg an der
statistik vorbei... der botmaster sagt mir nicht wie groß sein netzwerk ist.. darum
muss ich ja bei der beseitigung mitzählen.
warum mir das so wichtig ist? nun einfach neugier! wenn ich shodan und der gleichen
abfrage dann wird mir schlecht.. genau so schlecht wie wenn ich auf meinem server
einen honigtopf vor port 22 stelle... sagen wir es so ich möchte mich sinnvoll dem
digitalen umweltschutz widmen.
vielen dank für eure zeit die ihr euch zum lesen genommen habt
und noch 1000 mal mehr dankeschön für ggf den einen oder anderen
lösungsansatz der mir hilft das projekt von der alpha weg zu bringen 
grüsse Christian