记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

已于 2023-05-27 17:49:04 修改
阅读量2.4w 收藏 66
点赞数 38
文章标签: Linux sysupdate networkservice
于 2019-07-16 02:46:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daiyuhe/article/details/95683393
版权

同时发布:https://daiyuhe.com/clear-linux-mining-virus/

起因

闲来无事准备用服务器搭建个环境玩玩,连上服务器之后发现命令行卡的飞起,使用top看看cpu占用率,这里上前三截图。
cpu
sysupdate 系统更新??
networkservice 网络服务???

上阿里云管理控制台看看CPU占用率,占用率直接100%,再看看CPU以及内存的记录,已经被占领两三天了,阿里云也没有告警。
在这里插入图片描述

清除的过程

使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe
在这里插入图片描述
sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

找到了源头update.sh,接下来分析下这个脚本。

。。。
。。。

恩。。。我们有时间再写分析过程,这里先直接给出解决方案。

  1. 删除定时任务
    rm /var/spool/cron/root 或crontab -r
  2. 杀掉进程 删除文件
    首先杀进程,kill -9 {进程号},然后删除文件
    直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。
    同理删除networkservice、sysguard、update.sh、config.json。
  3. /root/.ssh/authorized_keys 删除或修复

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

  1. 修复SELinux
    病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
    如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
  2. wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
    mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
  3. 恢复防火墙配置
    这里给出病毒脚本修改的iptables配置的语句,方便读者修复
    iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
    如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。
注意措辞
关注
  • 38
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 23
    评论
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
Linux IO 与 进程的免费PDF,下载就能看
09-09
"Linux IO 与 进程:理解进程间通信和IO机制" 在Linux操作系统中,进程间通信(IPC)和IO机制是两个非常重要的概念。进程间通信是指两个或多个进程之间的数据交换和协作的机制,而IO机制则是指计算机系统中数据输入...
记录一次sysupdatenetworkservice清除脚本记录
凌晨的博客
10-28 1699
SName=sysupdate NName=networkservice SPID=`ps -ef | grep 'sysupdate' | grep -v grep | awk '{print $2}'` NPID=`ps -ef | grep 'networkservice' | grep -v grep | awk '{print $2}'` echo $SPID echo $NPID ...
一次 svchost.exe 进程占用大量网络带宽的排查
大哥一声吼
07-23 1329
在新装完系统,第一次更新完之后,就可以直接先关掉传递优化功能了,这个功能的关闭只会影响一些Windows更新的速度,对其他功能无影响,可以大胆放心关闭。httpshttpshttpshttpshttpshttpshttpshttps。.........
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1295
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Powershell 挖矿病毒处理与防范
chuzha3064的博客
08-20 3856
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。 Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“...
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1778
一次Liunx挖矿应急处置流程
一次真实的应急响应案例——篡改页面、sysupdatenetworkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdatenetworkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
计算机病毒与防护:Linux远程接入.ppt
06-10
【计算机病毒与防护:Linux远程接入】 在计算机领域,安全是至关重要的,特别是当我们涉及到远程接入时。Linux系统因其稳定性、安全性和可定制性而受到广泛欢迎,但也需要防范计算机病毒。本篇将探讨如何在Linux...
解决win11网络连接
weixin_44745717的博客
12-24 3849
1.按Windows+R,然后在输入框中输入Services.msc,按回车,弹出"服务"的对话框。3.找到"服务状态"选择 停用,"启动类型"下拉菜单选择 禁用。4.点击 应用 ,重启设备。
Win10中80端口被NETWORK SERVICE 占用
suowei_1的专栏
09-25 1171
配置apache2.4时,启动不了服务,提示端口占用。查询各种80端口被占用的解决办法,现总结: 1、打开cmd查看端口被占用情况  netstat -ano;发现是线程4占用; 2、查看一下当前的http服务状态         netsh http show servicestate     在最后请求队列中显示进程ID是:4008(随机),     在任务管理器中查看对应PID=4008...
清除Linux挖矿病毒
三少
03-21 1995
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
一次linux遭遇挖矿病毒之旅
纤手小白
06-17 4269
开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。 后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。 中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来...
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 980
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservicesysupdate,名称很像我们的系统进程, 3
linux服务器被挖矿的解决办法
白雪少年
09-07 9265
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
服务器被植入挖矿木马程序纪实(第二次)
andyguan01_2的博客
05-07 6422
今天这篇文章的标题是“服务器被植入挖矿木马程序纪实(第二次)”,为什么加了个“第二次”,因为之前已经发生过一次(可点此查看:服务器被植入挖矿木马程序纪实)。当时只是解决了问题,没有找到根本原因,这次又碰到了,情形和上次略有不同,好在最终找到了原因所在,下面细细说来。 一、发现问题 首先是接到运维同事告知,说服务器有频繁的异常请求,导致端口访问被服务商阻断: 二、解决问题 有了上次的经验,首先查看...
linuxnetwork service
04-12
的启动顺序是什么? 网络服务的启动顺序如果按照内核启动顺序,应该是: 1. 网络协议栈初始化(包括路由、ARP、ICMP等) 2. 网卡、驱动初始化 3. 网络文件系统(NFS)初始化 4. 网络接口初始化 5. DHCP 客户端启动 6. DNS 客户端启动 7. TCP/IP 客户端启动 8. DHCP 服务器启动 9. DNS 服务器启动 10. TCP/IP 服务器启动 但实际上不一定按照这个顺序启动,因为不同的发行版和版本配置不同,所以具体启动顺序还需要参考相应的文档。
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值