linux挖矿病毒分析

最新推荐文章于 2024-03-20 06:30:45 发布
VIP文章 最新推荐文章于 2024-03-20 06:30:45 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: linux 文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengbixuan/article/details/105238609
版权

发现问题:

    在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示:

         

networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。

处理问题:

   使用top查询到networkservice和sysupdate的进程号,接下来查查程序启动的位置,执行命令:ls -l proc/{进程号4876}/exe。

查询到networkservice和sysupdate都在/etc目录下。在etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

  于是安装百度的建议删除文件,但是发现黑客留下很多后面,虽然清除了病毒文件,最后还是选择了重装服务器的系统。

分析问题:

  根据运维排除,认为是redis漏洞导致的。

  通过redis入侵服务器的原理是:利用redis默认设置,很多用户没有设置访问密码或密码过于简单。然后通过向redis把自己的公钥写入到re

最低0.47元/天 解锁文章
清扬叶
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详细分析PBot挖矿病毒家族行为和所利用漏洞原理,提供蓝军详细防护建议
不忘初心,护天下安全!
06-27 508
近期,360监测到一个挖矿僵尸网络,并对其进行了持续跟踪。其bot模块为GitHub开源的IRCBot(采用Perl语言编写),且病毒脚本中包含perlbot关键字,遂命名为PBot。该僵尸网络正利用Spring4Shell漏洞(CVE-2022-22965)、GitLab CE/EE RCE漏洞(CVE-2021-22205)等漏洞大肆攻击互联网中主机以植入恶意脚本构建僵尸网络、挖矿牟利。目前该病毒家族至少包含7个漏洞利用模块,并收集了上万个脆弱主机IP地址。1)攻击者首先利用Spring4Shell漏洞
linux挖矿检测脚本
07-25
执行自动检测
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
03-20 610
最近(2018.12)阿里云服务器给我发报警短信,提示服务器:进程异常行为-可疑Host访问行为,但因为只是一个自己玩玩的服务器,有时一尽快也没当回事,试着访问了服务器还都正常,后来甚至有报警:恶意进程(云查杀)-挖矿程序,这有一天有空就上来看看,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的东西到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
挖矿病毒的特点
weixin_47104052的博客
05-04 1815
挖矿病毒的特点: 1、文件/定时任务删除失败-------------------文件只读属性保护 2、文件/定时任务删完又出现-----------------系统文件替换/下载进程残留 3、病毒进程刚刚删完又被拉起---------------恶意进程守护 4、主机严重卡顿但找不到挖矿进程-----------系统命令劫持 5、主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵 当服务器中挖矿病毒后,很有可能系统命令被黑客替换,导致执行某系统命令时,有可能执行被黑客注入到服务器
linux分析病毒,关于Linux操作系统病毒的原型分析
weixin_39553352的博客
05-14 160
一、 介绍写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。二、 ELF Infector (ELF文件感染器)为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesa...
Window应急响应(四):挖矿病毒
08-05 5013
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
记一次linux遭遇挖矿病毒之旅
纤手小白
06-17 4261
开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。 后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。 中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来...
挖矿病毒分析
LiBai'S BLOG
03-10 1万+
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
linux病毒软件安装
11-20
linux病毒软件CLAMAV。在虚拟机安装执行,无异常。
LINUX顽固病毒查杀
08-19
LINUX顽固病毒查杀,管理员必备。LINUX顽固病毒查杀,管理员必备。
Linux内核分析概述.ppt
11-13
Linux内核分析概述.ppt
ARMLinux启动过程分析.docx
12-18
ARMLinux启动过程分析.docx
挖矿病毒清理
chunhua1026的专栏
09-01 2497
前言: 今天登录vCenter,发现公司虚机一片告警,很罕见的场景~ 操作步骤: 首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh [email protected].*登录。 查看是否中毒,执行top命令 本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。 另一个检查方法,查看是否有此文件:/opt/unixdb
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
挖矿病毒的处理
hg00_11的博客
06-16 738
https://www.cnblogs.com/heian99/p/12865374.html
挖矿病毒事件
如果说你每一步都细心的话,其实你的效率是很快的
06-21 2629
昨天一台服务器发生挖矿病毒事件,现象是CPU干到100,内存剩余不多。 废话不多说直接贴图,早上时间宝贵 发现如上图一个诡异的IP 直接使用lsof 查找这个进程运行 的文件在哪,给我拉出来打 解决办法直接把进程kill 掉,然后删除文件夹 别忘记找安全部门扫描一下 ...
记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵
球球的博客
12-06 2119
单位ip被电信拉黑,原因恶意访问非法目的地; 通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110 登陆服务器一看cpu 爆满; 看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice; 清除的过程 使用top已经知道了进程号,接下来看看位置,命令ls -l pro...
linux下查看硬盘型号、大小等信息
清扬叶
04-15 3万+
1.查看硬盘型号 fdisk -l //查看你的硬盘编号,如sda,sdb 等 [root@root web]# fdisk -l Disk /dev/sda: 300.0 GB, 299966445568 bytes, 585871964 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (log...
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值