linux挖矿病毒分析

发现问题:

    在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示:

         

networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。

处理问题:

   使用top查询到networkservice和sysupdate的进程号,接下来查查程序启动的位置,执行命令:ls -l proc/{进程号4876}/exe。

查询到networkservice和sysupdate都在/etc目录下。在etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

  于是安装百度的建议删除文件,但是发现黑客留下很多后面,虽然清除了病毒文件,最后还是选择了重装服务器的系统。

分析问题:

  根据运维排除,认为是redis漏洞导致的。

  通过redis入侵服务器的原理是:利用redis默认设置,很多用户没有设置访问密码或密码过于简单。然后通过向redis把自己的公钥写入到redis,更改redis的数据库文件配置,把公钥写入到认证文件,最终形成免密码登陆。

  具体操作步骤:

   1.生成本地ssh公钥

   

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值