记录阿里云被挖矿病毒pnscan盯上的一次

已于 2023-12-20 01:07:06 修改
阅读量926 收藏 21
点赞数 19
文章标签: centos linux 运维
于 2023-12-19 23:43:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dfdsfdsfwsedf/article/details/135096496
版权

不知道为啥,今天部署了一个后端程序,突然黑客大佬就强行塞进了一大堆病毒,其中最熟悉的还是我们的老顾客,pnscan,臭名昭著的挖矿病毒。记录一下解决方案。

首先第一步,挖矿病毒一定会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。

chattr.c的下载地址:

https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.cicon-default.png?t=N7T8https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c

放到任意非root目录下,然后编译

cc chattr.c

mv a.out /usr/chattr

然后使用新的chattr文件修改被锁住的chattr。去除特殊属性 -i

cd /usr

./chattr -i /usr/bin/chattr

然后给新的chattr赋权限,并复制过去替代锁住的

mv chattr ./bin/chattr

然后查看修改后的属性,只要没有-i -a就行了

lsattr /usr/bin/chattr

接下来安装需要的命令工具

yum install e2fsprogs

安装完成以后,要去清除黑客大佬留下的ssh登录公钥

cd root

ls

cd .ssh

# 查看公钥文件的权限属性

lsattr authorized_keys

# 去掉 -ia两个属性

chattr -ia authorized_keys

chattr -e  authorized_keys

# 删除里面的信息

vim authorized_keys

由于总是显示预加载库的错误,先解决这个问题

# 去掉被锁住的权限 

chattr -ie ld.so.preload

# 删除里面的关于pnscan的库

vim /etc/ld.so.preload

接下来就是删除病毒文件本体

whereis pnscan 和 whereis crypto这命令会显示病毒文件所在的Linux路径

# 强制删除它们

rm -f /usr/local/bin/pnscan

chattr -iea /usr/local/lib/pnscan.so

rm -f /usr/local/lib/pnscan.so

接下来就是杀掉病毒进程,但是首先要恢复kill命令的权限

whereis kill

lsattr /usr/bin/kill

chattr -ia /usr/bin/kill

如果病毒进程被隐藏,可以使用更多进程查看软件比如

yum install -y atop

yum install -y htop

top

然后杀死病毒进程就好了

kill - 9

最后还要检查一下有没有定时任务,有的话就删掉

crontab -l

黑洞视界内的行路人
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
排查腾讯云服务器被挖矿病毒pnscan】挟持
fanxindong0620的博客
09-27 6390
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
阿里云docker容器固定应用到到某一个节点记录
01-10
阿里云容器固定应用到某一个节点 本文主要记录在swarm编排模板中固定节点: 1、swarm 编排模板-v2 version: '3.2' services: appweb: image: 'registry-vpc.cn-hangzhou.aliyuncs.com/****_docker/******' ...
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 750
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1395
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
阿里云服务器被pnscan挖矿病毒入侵如何解决?
最新发布
m0_64344919的博客
01-26 1120
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
阿里云linux服务器的一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 441
阿里云新买的linux,被安装兄弟安装后,不到一周中了pnscan挖坑病毒
一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4343
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
阿里云云上公司注册比较.xlsx
05-21
列举了阿里云云上公司注册的政策和方法,可以根据比较找到适合自己的地方注册。其中包括的地方有:安徽园区、东莞园区、山东园区、重庆园区、贵州园区、开封园区、南昌园区、上海园区、温州园区、徐州园区、郑州园区...
如何修改阿里云域名解析记录
10-10
操作步骤①、登录阿里云域名控制台域名列表;②、在域名解析页面找到目标域名,点击(解析设置);③、单击解析设置,进入解析设置页面,单击(修改)。您可以根据实际需求修改解析记录类型、主机记录记录值等信息...
阿里云云上创新指导手册
11-11
2022年11月5日,以“云上成就创新梦想”为...现场,阿里云重磅发布《中小企业云上创新指导手册》,将阿里云对中小企业创新的阶段洞察、以及助力中小企业云上创新的产品技术、解决方案和服务百业的最佳实践集结成册。
阿里云上深度学习建模实践共37页.pdf.zip
11-09
阿里云上深度学习建模实践共37页.pdf.zip
Linux删除文件出现rm: cannot remove `.user.ini': Operation not permitted
热门推荐
江南极客
01-12 4万+
Linux中rm -rf的威力是十分巨大的,特别是附带了 -f 参数,不少新手都干过用root用户执行 rm -rf /命令这种傻事,如果云服务器没有快照,简直就是灾难,从根目录开始所有文件被递归删除,连系统都被损坏。 但是,偶尔也会遇到使用rm -rf也删除不了的文件,执行后报rm: cannot remove `.user.ini': Operation not permitted,如
centos清理挖矿病毒[crypto][pnscan]
技术研究中心
07-16 1518
centos清理挖矿病毒[crypto][pnscan] 新买的云服务器cpu占用100%,瞬间想到挖矿木马。 排查过程如下: 1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。 2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了 3、想到使用chattr -i /usr/bin/netstat,但提示没权
小白被挖矿木马整emo的一天
wangluoanquan111的博客
12-30 776
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。看到了熟悉的6379 ,确认从redis入侵无疑了,想起我的redis只是测试使用,所以没有设置密码。2375 ,好熟悉的端口,这不是我前天为了远程连接docker部署项目打开的吗。可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接。当我删完,我以为就应该没事了,结果cpu还是占用很高。一时间我悟了,原来病毒不止一个。
pnscan 挖矿蠕虫病毒处理记(二)
SRE运维 网络 系统 安全
10-19 1099
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序。 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。 #!/bin/bash setenforce 0 2>/dev/null ulimit -u 50000 sleep 1 iptables -I INPUT 1 -p tcp --dport 63.
一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
ZL_1618的博客
12-27 1106
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)①1000+CTF历届题库(主流和经典的应该都有了)③项目源码(四五十个有趣且经典的练手项目及源码)⑦ 2023密码学/隐身术/PWN技术手册大全。⑤ 网络安全学习路线图(告别不入流的学习)⑥ CTF/渗透测试工具镜像文件大全。②CTF技术文档(最全中文版)
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
懒得一批的打工人博客
08-17 838
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 774
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程
Linux minerd木马清除(续)
oarsman的专栏
07-17 3586
前两天清除了minerd木马之后,服务器一直运行良好。本来以为就这样解决问题了。结果,今天晚上,突然收到监控组的告警,说服务器再度变慢,不但cpu 100%了,就是连带宽也100%了。我晕,于是SSH上去一看,哇塞,minerd 又回来了。而且还变本加厉,连带宽都占满了。 于是,老步骤。全部清理完之后。感觉还是不对。难道是服务器又被入侵了?查了下防火墙日志,似乎没有问题。SSH端口,密码之类的也
能否一次性上传多个数据到阿里云物联网平台上
07-14
是的,你可以一次性上传多个数据到阿里云物联网平台。阿里云物联网平台提供了多种数据上传方式,其中包括批量上传。你可以将多个数据打包成一个消息,然后通过MQTT或HTTP协议将消息发送到物联网平台的Topic或者API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值