清理服务器挖矿木马病毒

已于 2022-02-16 23:23:29 修改
阅读量3.3k 收藏 5
点赞数 1
分类专栏: 工具 文章标签: 服务器 运维 linux
于 2022-02-16 21:20:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hatim98/article/details/122969899
版权

挖矿木马 Centos ethminer crontab 服务器安全
关键词由CSDN通过智能技术生成

前言

假期远程办公,于是把服务器ip映射到了公网。不成想被人植入了挖矿木马病毒,在此记录一下这次发现和解决的经历。

目录

如何确认是挖矿木马?

先简单介绍一下,服务器装了Centos系统,今天突然发现使用 cd 命令时使用 Tab 键居然报了这样的错误:

cannot create temp file for here-document: No space left on device

然后使用命令 df -h 查看硬盘空间,发现根目录居然满了,接着(在root权限下)使用 ls -A 命令,才发现全是类似于 ethminer.tar 的文件,大概是这样:
在这里插入图片描述
一查ethminer,挖矿程序无疑。

使用 rm -rf ethminer* 尝试删除这些文件后,发现过一会又出现了。。于是猜测有定时脚本任务,使用 crontab -l 查看定时任务,回显:

@daily /var/tmp/.tmp/./.b4nd1d0
@reboot /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
* * * * * /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
@monthly /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown

一看就不是什么好东西。使用vim查看一下,确诊服务器被人植入了ethminer挖矿木马无疑!

处理方式

  1. 首先,直接删除木马脚本以及下载的乱七八糟的东西,这里发现不止 /var/tmp路径下有相关木马, //root 等目录也惨遭荼毒。

    rm -rf /var/tmp/.tmp/./.b4nd1d0
rm -rf /var/tmp/.tmp/./.placi
rm -rf /var/tmp/.tmp/./bin
rm -rf /var/tmp/.ladyg0g0
rm -rf /usr/bin/.locationesclipiciu
rm -rf /usr/bin/.pidsclip
rm -rf /.b4nd1d0
rm -rf /root/.b4nd1d0
rm -rf /root/bin
rm -rf /usr/.SQL-Unix
rm -rf /usr/tmp
rm -rf /usr/bin/sshd
# 这里注意ethminer.tar.*文件不一定在哪个目录
rm -rf /root/ethminer*
rm -rf /var/tmp/.tmp/./ethminer*

#删除 sclipicibosu 用户
userdel -r sclipicibosu
# 删除不成功就使用chmod修改/etc/passwd和/etc/shadow权限,再使用vim删除/etc/passwd和/etc/shadow该用户相关内容。
rm -rf /home/sclipicibosu

# 恢复.bashrc文件
cp /etc/skel/.bash* /root/
cp /etc/skel/.bash* /home/admin/

  2. 然后,清除一下 crontab 定时任务

    crontab -e

    将恶意的定时任务全都删掉,然后先按esc, 输入 :wq ,即保存并退出。

  3. 重启, reboot

  4. 关闭外网映射。

大功告成!

参考

文洪涛
关注
专栏目录
宝塔攻防------木马挖矿xmrig问题处理
jack_Day666的博客
05-13 1180
点他名字xmrig进详情 查找是否有异常的ip端口号 在宝塔首页,查看对应版本是否过低 进入云服务器,查看是否有异常登录和木马文件 这里隔离后,在宝塔里 起始都输入刚刚的ip 然后添加 查看服务器异常登录,因为加了黑名单,可以不管了 最后,查看宝塔主页面,cpu是否正常,如果正常,可以不重启服务器,建议重启宝塔。 ...
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
Linux服务器防护+对抗挖矿病毒全流程探索
weixin_44197439的博客
09-09 995
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
浅扒挖矿木马程序文件
最新发布
Ppandaer的博客
09-30 525
通过上述步骤和技术手段,你可以尽可能地了解文件的创建者、来源以及幕后主使。然而,由于黑客技术的复杂性和隐蔽性,完全追踪幕后主使可能非常困难。如果你怀疑系统被感染,建议立即采取措施隔离受影响的主机,并寻求专业的安全团队帮助。
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9312
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
redis 挖矿木马清除
wasd986523的博客
06-03 785
redis 挖矿木马清除 https://www.360zhijia.com/anquan/447557.html https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
记一次服务器清除挖矿木马操作记录
skyfans的博客
12-24 2024
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了。问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众多重要的程序内容,无法直接重装操作系统。。。 这特么不是围栏老子呢吗? 好吧,抱着试一试的态度,我们来试一哈解决处理下吧。 1.查看现象 top 可以看到,一个进程2N6f1P,狠占CPU,占到...
linux cron命令小结
u012749168的博客
10-17 468
cron 计划任务,是任务在约定的时间执行已经计划好的工作,这是表面的意思。在Linux中,我们经常用到 cron 服务器来完成这项工作。cron服务器可以根据配置文件约定的时间来执行特定的作务。但它不自动起来,因此可以采取以下方法来启动,关闭这个服务。          -l查看某个用户的cron服务 [root@slave-01 test]# crontab -u root -l
服务器挖矿木马识别与清理
m0_65372269的博客
12-12 1102
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
python挖矿木马_kworkerds 挖矿木马简单分析及清理
weixin_39952800的博客
12-06 718
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。现象top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务,每半小时左右会从 pastebi...
病毒分析之“驱动人生”挖矿木马分析及其清除方案
Hades的博客
11-01 1万+
“驱动人生”挖矿木马分析及其清除方案 0x00 概述 自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。 从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 4382
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
记录一次服务器挖矿病毒攻击
LeKZzz的博客
03-13 443
本文首发于个人博客网站:http://www.blog.lekshome.top/2024/03/08/ji-lu-yi-ci-fu-wu-qi-wa-kuang-bing-du-gong-ji/指令查找到这个进程的PID后我杀死了这个进程,但是由于一段时间后这个进程会重新出现且每次重启后都会出现这个进程,所以这个进程很显然存在一个定时任务定时启动来防止进程被杀死。的进程占用了所有的CPU资源,Opera是一个浏览器的名称,但是我并没有使用过这个浏览器,而且运行用户是。是 cron 的特殊关键字,等同于。
暴力破解、写入ssh公钥留后门、植入GPU挖矿程序--placi脚本分析
weixin_44727454的博客
06-03 951
shell脚本分析,做个笔记
【安全】查杀linux隐藏挖矿病毒rcu_tasked
飞的博客
10-25 2954
这是黑客使用的批量蔓延病毒的工具,通过如下脚本实现。
记一次 Debian 被黑,清理记录,唉
边学边用
01-10 4012
清理被黑的 Debian Linux 中的非法文件
Linux服务器应急响应(下)
山兔的博客
09-08 395
Linux alias命令用于设置指令的别名。用户可利用alias,自定指令的别名。若仅输入alias,则可列出目前所有的别名设置。alias的效力仅及于该次登入的操作。若要每次登入是即自动设好别名,可在.profile或.cshrc中设定指令的别名。
Linux中的服务启动空输出,>/dev/null 2>&1 & 含义
亲测,只为展现最完美的有效!
07-29 897
先拆解一下 > :重定向符号 /dev/null :在类Unix系统中,/dev/null,或称空设备,空设备通常被用于丢弃不需要的输出流 2>&1:1是标准输出,2是错误输出,可以把1和2都理解是一个指针,那2>&1 含义就是 将标准错误输出重定向到标准输出 最后一个&表示把条命令放到后台执行 连起来 将 标准输出的内容丢弃,同时标...
rpm -qa|grep nfs >/dev/null 2>&1作用
weixin_30687587的博客
09-03 604
在使用一些shell命令是,经常会用到rpm -qa|grep nfs >/dev/null 2>&1之类的命令,该命令干嘛用的呢? 其实这个命令就是将rpm -qa|grep nfs查询的结果的标准输入和错误输出重定向到/dev/null中,/dev/null代表linux空设备文件,所有往这里面写的内容都丢失掉,意味着执行了/dev/null命令后,标准输出就会...
木马病毒全攻略:预防、类型与清除方法
木马病毒是一种恶意软件,...面对木马病毒,用户应保持警惕,采取综合防御策略,并及时采取清理措施以保障系统的安全。同时,随着技术发展,木马的形式和防御手段也在不断演变,因此持续学习和更新防范知识至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

文洪涛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值