dbused挖矿病毒清理过程

最新推荐文章于 2024-07-09 11:15:52 发布
最新推荐文章于 2024-07-09 11:15:52 发布
阅读量5.1k 收藏 3
点赞数 3
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo909022/article/details/115631744
版权

表现

过了个周末,一觉醒来,服务器上部署的程序无法访问了,想ssh进入shell查看,shell也连接不上,去云服务器提供商后台查看监控曲线,发现cpu使用率一直在100%,在后台页面重启实例,进入shell进行恢复。

处理

使用top 命令查看CPU使用率,发现dbused进程高居榜首,就是它,干它!

驻留项

添加4个驻留项如下:
(1)bash启动项 ~/.bash_profile
在打开终端时将会执行该挖矿木马,注意需要到对应用户目录下清理bash_profile

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

(2)crontab计划任务

第一个计划任务为下载脚本执行

crontab -l

查询定时任务,发现有任务定时从bash.givemexyx.in/xms 下载病毒文件,可能创建的crontab未知包括

/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs
另一个计划任务pwnrig则是直接启动挖矿进程
查询启动脚本的任务,注意,我用的centos *号要用单引号括住

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>dev/null |grep cron

在这里插入图片描述
把左侧输出的文件删掉,如果删不掉,提示权限问题,则查看文件的属性
lsattr pwnrig 显示—i-a---------- pwnrig
使用命令删除属性 chattr -i -a pwnrig 之后就可以删除了

依次查看rc.d init.d 系统服务

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
相关文件统统删掉
进入到定时任务的文件夹/var/spool/cron/ 发现有个root的定时任务,删掉!
之后删除以下文件,如果存在的话
删除以下文件

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b

想和你去吹吹风
关注
渗透系列:实战分享 | 记一次挖矿病毒的溯源----6379---redis
weixin_54626591的博客
01-10 512
实战分享 | 记一次挖矿病毒的溯源----6379---redis
如何统计SequoiaDB 数据占用存储空间的大小
codejianhongxie 的博客
08-02 214
为保障数据库系统平稳运行,满足业务快速增长的需求,数据库 DBA 通常需要定期检查数据库的数据存储量以及数据增长量情况,分析现有的服务器存储资源能够支撑业务系统运行多长的时间,合理地安排数据库的扩容时间。本文将介绍如何基于SequoiaDB 提供的快照视图统计 SequoiaDB 数据记录占用存储空间总大小。
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
Ryan2k的博客
02-26 8895
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了! reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。 此时登录tung用户后,dbused便立
dbused 挖矿病毒清理
记昨日书的博客
09-26 750
问题描述 系统:centos 7 现象:服务器CPU一直100%,top 命令发现 dbused 占用,kill 掉后自启CPU依然100% 1. 临时降低CPU使用率 while true; do ps -aux | egrep "dbused|sendmail|wget|python" | awk '{print $2}' | xargs kill; done 2. 关闭定时任务自启 systemctl disable crond 3. 清理环境变量(.bash_profile) chattr -i
记一次gsd挖矿病毒处置
最新发布
weixin_47142436的博客
07-09 881
按照上述流程处置完成后,再次kill相关进程,并对客户主机进行重启,客户系统恢复,CPU使用率降至10%以下,观察超过30分钟未有新的挖矿进程出现,基本确认处理完成。结合客户所说,重启服务器后正常应用不能启动,挖矿进程会快速占满CPU,怀疑家目录下的bash_profile里面有关于挖矿进程的相关参数。ls -l /proc/PID/exe 查看此PID对应的程序,发现如下图所示,此程序不存在。发现bprofr文件的存在,将bprofr放到云沙箱进行检查,确定为挖矿程序。
centos dbused挖矿病毒清理
hyc_219的博客
07-27 1768
清理bash_profile 1、打开终端,清理到用户下bash_profile文件,默认在/home/${name}/的隐藏文件内容中记录 cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null 删除crontab下任务 #查看是否包含cp -f -r --
Linux挖矿病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7358
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备挖矿病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
记一次解决dbused挖矿病毒
qielanyu_的博客
10-10 1117
参考文章: 解决挖矿病毒导致的cpu100%_Newbie_J的博客-CSDN博客 dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程_gitTung的博客-CSDN博客_dbused 一次挖矿病毒的处理过程复盘-简易百科 引言:直接影响,导致confluence无法使用。top时发现跟confluence账号相关,于是从这个方面着手,开始解决问题 1.进入 /var/spool/cron/ ,发现存在confluence5的一个定时任务,其内容如下: * * * *
dbused StartMiner最新变种 cpu爆满 挖矿病毒 redis漏洞手动查杀流程
arr的博客
09-02 1385
上图是特征 如果是生产服务器建议还是直接重新装一台快一点 这个病毒很恶心,到处都有他的定时器,到处都有他的执行指令.好在他自己的名字是固定的,不然真的很难定位 ps -aux
ch数据库的创建和使用江苏省二级实用PPT学习教案.pptx
10-06
- **DBUSED()**:检查数据库中是否已使用特定的表。 - **DBGETPROP()**:获取数据库或表的属性值。 - **DBSETPROP()**:设置数据库或表的属性值。 9. **关系类型**:数据库中的表关系主要有一对一、一对多和多对...
ch数据库的创建和使用江苏省二级实用PPT课件.pptx
10-06
VFP的数据字典允许创建和管理主关键字、候选索引、字段和记录规则、表单默认控件、表字段标题和注释、永久性关系、存储过程、输入掩码和显示格式等。此外,数据字典还涉及触发器的插入、更新和删除事件。 【数据库...
清理kdevtmpfsi、dbused挖矿木马程序
qq_42672132的博客
08-24 734
一、出现的问题 今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。 搜了一下,都是挖矿程序。 二、解决思路 网上很多的方法都试了,但是挖矿进程还是不断重启。像 1、关闭守护进程(后面没有守护进城了,木马进程还是会重启) 2、删除/tmp/下相关的文件(看名字,和木马进程差不多) 3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启) 4、修改木马文件权限(会换个名字继续来,原
Oracle 后台进程详解
苏南生的CSDN博客
04-29 1万+
后台进程后台进程负责保证数据库的稳定工作,每当数据库启动时,这些后台进程会自动启动,并且持续整 个实例的生命周期,每个进程负责一个独特的任务,表2-4 是一些最重要的后台进程。进 程缩 写描 述Database WriterDBWn负责把脏数据写回磁盘Log WriterLGWR负责把日志数据写到联机日志文件CheckpointCKPT负责检查点操作Process MonitorPMON负责维护用
DBUS问题
bitscro的专栏
09-05 736
最近系统出现了这样的“failed to initialize HAL”问题网上查了很多资料 都说是/etc/rc2.d里优先级的问题可是我这个设置是正确的又查询了/var/log/daemon.log都是说dbus出现了问题最终发现将下面的软件包卸载可以解决问题PolicyKit-0.8哈哈
万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒
今朝歌莫言醉
10-19 3328
现象 服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了; 处理过程 1、使用top监控资源情况,发现异常,使用kill干掉了 2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则 3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始 4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下 5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了 ..
记一次清理挖矿病毒
lixiao0320的专栏
05-13 964
一、前言 这是我第二次遇到这种病毒,第一次是两年前,当时因为公司的一台服务器映射到外网访问,而且还是弱口令,导致整个公司的服务器,全染上了????。。。当时经验缺乏,第一次遇到这种病毒,手足无措,在没有办法的情况下,重新装了一台服务器,后来发现还有好多台,重装效率太低,然后自掏腰包????????(当时主要怕老板骂)找了个运维帮搞定了,然后涨了点知识。。。 这次是之前的同事在他现在公司遇到的问题,搞了好多天无果,找我帮忙看看,由于最近也比较忙,耽误了几天(2021-5-11)才帮他解决(
[问题已处理]-阿里云与本地机房中挖矿病毒处理,又又又中毒了
爷来辣的博客
09-21 1074
导语:被挖矿的现象是cpu异常的高。正常服务被系统杀掉。 先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的 基本判断是confluence最新的漏洞导致的 http://www.hackdig.com/09/hack-465498.htm 刚好看到防火墙有之前做的映射暴露出去 后期防火墙可以设置白名单 会用java去下脚本 官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。 如需要查看完整感染脚本 c
linux 之pwn环境建立
Maxmalloc的博客
11-03 1863
当电脑建立相关环境遇到一些麻烦后,如何重新快速搭建pwn相关的linux环境是个重要的的问题,写篇博客给自己记一下 1.设置root密码 sudo passwd root 2.安装pip sudo apt-get install python-pip 3.安装pwntools pip install pwntools 4.转储ida server(方便ida远程调试) 5.安装LibcSear...
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3605
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
Linux系统used内存占用很大,而实际系统中个进程并没有占用这么多内存
热门推荐
戴眼镜的蜗牛 的博客
07-15 2万+
问题新装服务器,used内存占用很大,而实际系统中个进程并没有占用这么多内存现象top查看下,used很大,如果有其他外部程序向监控服务器的内存,used实际是个比较关键的指标,而该指标却并没有反应出服务器实际占用情况: 原因实际这是缓存原因导致,可以通过命令释放,即上图的cached部分解决执行以下命令:echo 0 >/proc/sys/vm/drop_caches free -m #看内存是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值