【Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除

已于 2024-01-11 16:23:38 修改
阅读量2k 收藏 25
点赞数 22
分类专栏: 问题解决 渗透测试 Linux 文章标签: linux 网络 运维 ubuntu
于 2024-01-11 16:22:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agatha_66/article/details/135516450
版权

1 原因

        由于账户密码设置较简单,受到境外ssh爆破攻击入侵系统,植入病毒。

2 病毒种类

        Kswapd0挖矿病毒。

        按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。

3 病毒发现过程

        发现高内存占用的异常进程,该程序在.configrc5/a文件夹下。

        .configrc5文件夹内容。

        .configrc5/a/run这个脚本在后台运行了kswapd0这个可执行文件,把进程id写到bash.pid文件中

        目前文件中显示的进程id是976335,与发现的进程id不同,可能定时重新启动了多个进程。

        发现.configrc5/b/run脚本修改了ssh自动登录的rsa值,改为以下公钥:

AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw==

        该病毒进程应该有对外连接端口,境外IP。且该病毒进程添加了定时计划任务。

4 病毒行为分析

        系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。

4.1 a文件夹

  • Stop文件

        结束存在竞争性关系的挖矿程序cron、kswapd0等进程,并将结果保存在proc隐藏文件中,最后删除proc文件。

  • 判断系统架构—run文件

        执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。

  • 查看CPU信息—a文件

        使用crontab命令删除当前用户的cron任务。将当前目录的路径保存到dir.dir文件中。获取保存在dir.dir文件中的路径,并将其赋值给变量dir。创建一个名为upd的脚本文件,并将一段脚本写入其中。该脚本会检查指定目录下的bash.pid文件是否存在,如果存在则读取其中的进程ID,并尝试向该进程发送信号。如果进程仍然存活,则退出脚本;否则,执行run脚本。定义了一个名为optimize_func的函数,用于优化系统性能。函数内部根据CPU类型使用wrmsr命令写入相应的MSR寄存器值,并设置vm.nr_hugepages参数以启用大页内存。判断当前用户是否为root用户,如果是,则调用optimize_func函数进行系统性能优化;否则,仅设置vm.nr_hugepages参数。修改upd文件的权限为可执行。修改当前目录下所有文件的权限为777。执行upd脚本。

  • 挖矿程序—kswapd0文件

        目前代码打开是乱码。

4.1 b文件夹

  • 执行后续脚本—a文件

        对a文件目录下的脚本赋予权限并执行。

  1. run文件

        输出字段是一段base64编码的Perl语言,解码后得到1952行病毒代码。

        最后添加了自动登录的SSH公钥达到长期控制目标系统的目的。

        端口扫描函数:

        DDoS攻击代码:

  • 结束竞品进程—stop文件

        结束存在竞争性关系的进程rsync、sync、Perl、ps、pool、nginx、ecryptfs和xmr,将结果输出到隐藏文件out下,最后删除out。

5 病毒清除

  1. 修改登录密码,删除被修改的远程自动登录密钥;
  2. 已Kill掉病毒进程;
  3. 删除病毒所在的~/.configrc5文件夹;
  4. 关闭不使用的端口。
  5. 删除以下文件,结束相应进程

        /tmp/*-unix/.rsync/a/kswapd0
        */.configrc/a/kswapd0
        /tmp/*-unix/.rsync/c/tsm64
        /tmp/*-unix/.rsync/c/tsm32
        /tmp/*-unix/.rsync/b/run(rsync)
        */.configrc/

        6. 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除:

        /a/upd
        /b/sync
        /c/aptitude

参考:

典型挖矿家族系列分析一 丨Outlaw(亡命徒)挖矿僵尸网络 - 知乎 (zhihu.com)

Linux kswapd0进程CPU占用过高,病毒清理_linx kswapd0 100-CSDN博客

AGATHA_66
关注
专栏目录
Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 944
top看一下主机的资源使用情况 kswapd0系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
记一次挖矿病毒清除,欢迎来讨论
CSDNyingying的博客
01-26 1865
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
Linux清除挖矿病毒kswapd0
zc20081111的博客
04-01 1121
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
Nginx异常关闭之中了挖矿病毒kswapd0
最新发布
sunyanchun的专栏
08-12 290
困扰了接近一个月,偶然查询全部定时任务时发现: 5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1,很陌生的一个定时任务,确定自己及其他人没有加过,查询了一下资料是“挖矿病毒kswapd0”相关任务,赶紧查了一下服务器其它信息,确实中招了。3、加入每天自动重启Nginx任务脚本;隔几天还是出现异常关闭。用 rm -rf 命令逐条删除,rm -rf /root/.configrc5/*,或者rm -rf /root/.configrc5/a/kswapd0
应急响应-挖矿病毒(kswapd0
weixin_45690589的博客
10-10 1291
应急响应-挖矿病毒(kswapd0
恶意代码LINUX病毒技术
qq_63179750的博客
04-25 723
恶意代码LINUX病毒技术
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 587
就立刻联想到了,是挖矿木马,但是kswapd0系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒
kswapd0病毒处理
GeeLoong`s Blog
07-17 7447
kswapd0挖矿病毒
Outlaw Linux-开源
05-03
创建一个“超频者” Linux,该Linux具有速度稳定性和强大的功能。
OUTLAW
10-24
"OUTLAW" 是一款字体相关的压缩包,可能包含一种或多种特定设计风格的字体文件。在IT领域,字体设计是数字媒体、网页设计、图形设计等创意行业中不可或缺的一部分。字体不仅影响着文本的可读性,还对整体视觉效果和...
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2567
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
Linux系统发现新恶意软件
06-26 449
安全研究人员发现了一种新的Linux恶意软件,它似乎是由中国黑客创建的,并被用作远程控制受感染系统的手段。 这个恶意软件命名为HiddenWasp,由用户模式rootkit,木马和初始部署脚本组成。该恶意软件与另一个最近发现Linux恶意软件应...
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 2555
第九章-kswapd0挖矿
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1249
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 777
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多...
无法被检测到的Linux恶意软件
m0_48520508的博客
08-14 312
网络安全研究人员今天发现了一种完全无法被检测到的Linux恶意软件,该恶意软件利用未公开的技术来监视并瞄准以流行的云平台(包括AWS,Azure和阿里云)托管的可公开访问的Docker服务器。 Docker是一种流行的针对Linux和Windows的平台即服务(PaaS)解决方案,旨在使开发人员更容易在松散隔离的环境(称为容器)中创建,测试和运行其应用程序。 根据Intezer 与The Hacker News 共享的最新研究,正在进行的Ngrok挖矿僵尸网络活动正在Internet上扫描配置不正确的Do.
linux杀毒进程,Linux系统中查杀僵尸进程方法介绍
weixin_34511754的博客
04-29 221
Linux系统中查杀僵尸进程方法介绍在UNIX 系统中,一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他, 那么他将变成一个僵尸进程. 在fork()/execve()过程中,假设子进程结束时父进程仍存在,而父进程fork()之前既没安装SIGCHLD信号处理函数调用 waitpid()等待子进程结束,又没有显式忽略该信号,则子进程成为僵尸进程。一个进程在调用exit命...
linux网络进程,Linux中如何杀掉僵尸进程
weixin_42486913的博客
04-29 156
1)检查当前僵尸进程信息#ps-ef|grepdefunct|grep-vgrep|wc-l175#top|head-2top-15:05:54up97days,23:49,4users,loadaverage:0.66,0.45,0.39Tasks:829total,1running,479sleeping,174sto...
个人技术网站:Linux命令行风格的网站构建
资源摘要信息:"outlaw11a.github.io是一个基于Linux操作系统命令行启发设计的个人网站。该网站的主要内容涉及HTML相关的技术知识和使用方法。" 首先,我们需要了解Linux操作系统Linux是一种开源的操作系统,它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值