【Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除

已于 2024-01-11 16:23:38 修改
阅读量1.8k 收藏 25
点赞数 22
分类专栏: 问题解决 渗透测试 Linux 文章标签: linux 网络 运维 ubuntu
于 2024-01-11 16:22:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AGATHA_66/article/details/135516450
版权

1 原因

        由于账户密码设置较简单,受到境外ssh爆破攻击入侵系统,植入病毒。

2 病毒种类

        Kswapd0挖矿病毒。

        按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。

3 病毒发现过程

        发现高内存占用的异常进程,该程序在.configrc5/a文件夹下。

        .configrc5文件夹内容。

        .configrc5/a/run这个脚本在后台运行了kswapd0这个可执行文件,把进程id写到bash.pid文件中

        目前文件中显示的进程id是976335,与发现的进程id不同,可能定时重新启动了多个进程。

        发现.configrc5/b/run脚本修改了ssh自动登录的rsa值,改为以下公钥:

AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==

        该病毒进程应该有对外连接端口,境外IP。且该病毒进程添加了定时计划任务。

4 病毒行为分析

        系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。

4.1 a文件夹

  • Stop文件

        结束存在竞争性关系的挖矿程序cron、kswapd0等进程,并将结果保存在proc隐藏文件中,最后删除proc文件。

  • 判断系统架构—run文件

        执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。

  • 查看CPU信息—a文件

        使用crontab命令删除当前用户的cron任务。将当前目录的路径保存到dir.dir文件中。获取保存在dir.dir文件中的路径,并将其赋值给变量dir。创建一个名为upd的脚本文件,并将一段脚本写入其中。该脚本会检查指定目录下的bash.pid文件是否存在,如果存在则读取其中的进程ID,并尝试向该进程发送信号。如果进程仍然存活,则退出脚本;否则,执行run脚本。定义了一个名为optimize_func的函数,用于优化系统性能。函数内部根据CPU类型使用wrmsr命令写入相应的MSR寄存器值,并设置vm.nr_hugepages参数以启用大页内存。判断当前用户是否为root用户,如果是,则调用optimize_func函数进行系统性能优化;否则,仅设置vm.nr_hugepages参数。修改upd文件的权限为可执行。修改当前目录下所有文件的权限为777。执行upd脚本。

  • 挖矿程序—kswapd0文件

        目前代码打开是乱码。

4.1 b文件夹

  • 执行后续脚本—a文件

        对a文件目录下的脚本赋予权限并执行。

  1. run文件

        输出字段是一段base64编码的Perl语言,解码后得到1952行病毒代码。

        最后添加了自动登录的SSH公钥达到长期控制目标系统的目的。

        端口扫描函数:

        DDoS攻击代码:

  • 结束竞品进程—stop文件

        结束存在竞争性关系的进程rsync、sync、Perl、ps、pool、nginx、ecryptfs和xmr,将结果输出到隐藏文件out下,最后删除out。

5 病毒清除

  1. 修改登录密码,删除被修改的远程自动登录密钥;
  2. 已Kill掉病毒进程;
  3. 删除病毒所在的~/.configrc5文件夹;
  4. 关闭不使用的端口。
  5. 删除以下文件,结束相应进程

        /tmp/*-unix/.rsync/a/kswapd0
        */.configrc/a/kswapd0
        /tmp/*-unix/.rsync/c/tsm64
        /tmp/*-unix/.rsync/c/tsm32
        /tmp/*-unix/.rsync/b/run(rsync)
        */.configrc/

        6. 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除:

        /a/upd
        /b/sync
        /c/aptitude

参考:

典型挖矿家族系列分析一 丨Outlaw(亡命徒)挖矿僵尸网络 - 知乎 (zhihu.com)

Linux kswapd0进程CPU占用过高,病毒清理_linx kswapd0 100-CSDN博客

AGATHA_66
关注
  • 22
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Outlaw Linux-开源
05-03
创建一个“超频者” Linux,该Linux具有速度稳定性和强大的功能。
记一个真实的应急响应案例(5)kswapd0恶意程序事件
OneMoreThink
01-29 1361
技术交流可以关注公众号 OneMoreThink 或后台添加微信,欢迎提出宝贵建议。目录恶意程序排查文件排查告警文件排查时间文件排查敏感目录排查特权文件排查网络排查进程排查网络进程排查所有进程排查隐藏进程排查进程资源排查后门排查账号后门排查SSH账户SSH密钥条件后门排查计划任务启动项自启服务命令别名溯源排查日志分析系统日志中间件日志数据库日志安全设备日志流量分析内存分析溯源结论后续待办终止恶意进...
Linux病毒 - 挖矿木马 kswapd0
最新发布
富强、文明、自由、平等、公正
06-05 335
就立刻联想到了,是挖矿木马,但是kswapd0系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒
linux 系统被异地登录,cpu占用拉满100%
BiuBiu_Ka
06-04 508
命令,查看占用最高的是否kswapd0。记下该进程ID 5081。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。这些都和病毒相关,按 任意字母键,进入编辑模式,全部清空。将结果中的每个地址都删除掉 示例如下。最后修改服务器密码,并重启。
挖矿木马分析之肉鸡竟是我自己
Appleteachers的博客
05-25 1453
之前服务器总是有一些异地登陆的告警信息,用代理就会这样,自己也没太在意。今天偶然间打开一看,发现如下提示! 接下来处理一下! 收集信息 finalshell登陆发现CPU占用率为100%ps auxw|head -1;ps auxw|sort -rn -k3|head -10查看CPU占用最多的前10个进程 罪魁祸首是第一个,其PID是3124。ls -ail /proc]/PID查看其绝对路径 .configrc文件内容如下(.configrc的名字是为了把自己和.config文件混淆) .
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
关于木马病毒kswapd0的处理
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
03-13 1540
关于木马病毒kswapd0的处理
Linux清除挖矿病毒
QZ9420的博客
03-07 900
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2756
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
OUTLAW
10-24
"OUTLAW" 是一款字体相关的压缩包,可能包含一种或多种特定设计风格的字体文件。在IT领域,字体设计是数字媒体、网页设计、图形设计等创意行业中不可或缺的一部分。字体不仅影响着文本的可读性,还对整体视觉效果和...
Outlaw-开源
06-30
图像查看器。
outlaw11a.github.io:我的个人网站 http 的内容
06-17
这个描述 "outlaw11a.github.io 受 Linux 操作系统上使用的命令行的启发" 表明网站的设计或功能可能受到了 Linux 命令行界面的影响,可能具有简洁、命令式的交互体验或者主题风格。 在标签中提到 "HTML",意味着这...
小白被挖矿木马整emo的一天
A_991128a的博客
02-20 642
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。kswapd0占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0,而是木马程序伪装的[kswapd0],专门骗我这种小白)可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349cpu降下来了。。。
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1064
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
应急响应-挖矿病毒(kswapd0
weixin_45690589的博客
10-10 1142
应急响应-挖矿病毒(kswapd0
记一次ubuntu虚拟机被挖矿木马攻击的过程
李迟的专栏
06-05 1万+
事由: 今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现挖矿木马攻击了。
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1087
挖矿进程kswapd0&tsm清理
kswapd0挖矿病毒攻击记录
Shawn的个人博客
02-29 944
Outlaw病毒通过SSH攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH攻击程序。# 常用的日志分析技巧# 定位有多少IP在爆破主机的root帐号:# 定位有哪些IP在爆破:[0-9][0-9]?[0-9][0-9]?[0-9][0-9]?[0-9][0-9]?)"|uniq -c# 爆破用户名字典是什么?
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒的解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值