ubuntu主机被挖矿——排查与应急响应

最新推荐文章于 2024-04-28 13:20:41 发布
最新推荐文章于 2024-04-28 13:20:41 发布
阅读量2.3k 收藏 4
点赞数 5
分类专栏: 应急响应 文章标签: 应急响应 挖矿病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/119347378
版权

昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信

我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载

 

直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。

首先查看腾讯云监控的信息,

 

定期登录看看我?伤害不大,侮辱性极强

 

cat ~/.bash_history

看到这里想到之前做一个团队服务器时潦草建了个测试账户

看了看bashhistory, 

嘶,当时雀实够潦草,顺带看了一下,找不到这位黑客老哥的操作记录,清得很干净

顺手也查了last lastb一堆尝试登录的。

查看一下cpu进程

top

 

第一个进程离谱,这个名字也迷惑性很强,

 

好像没问题,但是作为一个协议,长期占用超过85%的cpu,那必然有问题

不急着删他进程,追踪进去看一眼目录

 

下意识看了一下/tmp目录

 

emmmm

满满的

google一下,dhcpd雀实是一个挖矿病毒隐藏的名字,而/tmp下的.ICE-unix也是挖矿病毒,这个深信服的师傅曾经遇到过

https://cloud.tencent.com/developer/article/1370854

现在确定他是挖矿病毒了,几个位置也清楚了,开始清理。

注意:如果你是在甲方那里,发现这种情况,

一定先固定证据!一定先固定证据!一定先固定证据!

直接给系统做个快照,或者做个镜像是做好不过的。

首先检查

        计划任务

        开机自启动

        其他能启动挖矿程序的进程

计划任务:

crontab -l

start.sh是腾讯云的一个服务

也没有问题

开机启动项:

ls /etc/init.d/

 

cat /etc/rc.d/rc.local

 

好像没啥问题

处置病毒:

个人习惯先下载下来,留在自己电脑上(俗称养蛊),然后清理Linux主机的病毒

        删进程

  

      ps -aux

kill -s 9 23000

我的test账户本来就是一个测试账户,没什么用,直接删除即可

userdel -r test

 

基本搞定

看一下病毒本体

拖进IDA

啊,有点复杂啊

还是看专业的师傅来吧https://cloud.tencent.com/developer/article/1370854

这个病毒很狡猾,对我来说难度稍微大了,师傅分析的很到位

发现我的主机被挖矿的时候

第一时间把这个好消息,分享给了hxd,他建议我如果没有很重要的数据,直接重置系统

noway!

这不得水一篇文章吗,在甲方当蓝队的时候我可不敢把这个写出来,否则分分钟律师函警告。

(其实买这个服务器最初就是为了搭一个蜜罐,甲方的蜜罐实在让人眼馋,抓人多好玩!遇到菜的,直接反制,让攻击方变成防守方,防守方开打!

搬出二连长的意大利炮哈哈哈哈)

最后重启一下系统,等一段时间后再观察一下,cpu没有异常的话,就基本确定排查完全且成功。

嘶好像没啥问题了,

4pri1
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2618
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查
Ubuntu 16.04与Apache虚拟主机配置的步骤详解
09-15
主要给大家介绍了关于Ubuntu 16.04与Apache虚拟主机配置的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用ubuntu16.04系统具有一定的参考学习价值,需要的朋友们来一起看看吧。
【服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 9376
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
ubuntu清理挖矿病毒
My Struggle
02-16 1553
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
怎么检查ubuntu22.04服务器机器被挖矿
最新发布
keyboard专栏
04-28 750
如果怀疑你的 Ubuntu 22.04 系统被挖矿程序占用,可以通过一系列检查步骤来确认这一疑问。
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
Ubuntu挖矿的经历(附小白解决办法)
qingzhiwu0110的博客
11-20 3995
Ubuntu服务器被挖矿历程警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了!问题:想办法解决:查Google装杀毒软件并杀毒总结 警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了! 问题: 情况是这样,服务器有一段时间没用,后来想要ssh登录的时候发现自己的账户死活登不上去,然后在2020年11月20日,ssh使用root账户登
Ubuntu Kylin中编译运行cgminer挖矿软件
giantbranch的专栏
05-08 8674
(这是参考开源中国的一个人的,加了点自己的注释和图片,其他的linux可能会有错误,小白不会解决,自己解决吧) //一开始以为要装git,就先装了 sudo apt-get install git //安装一些必要的库 sudo apt-get install build-essential autoconf automake libtool pkg-config libcur
Ubuntu服务器,由于redis漏洞导致被安装挖矿脚本
zxiaoy的专栏
08-11 3312
面向贴了脚本内容,以帮助解决问题。 把脚本添加的定时任务,添加的ssh key,下载的文件等清除就ok了。 不过可能不同版本脚本不一样。 解决办法就是先查看定时任务找到脚本,然后根据脚本,见招拆招就行了。 export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * *
[UBUNTU]挖矿病毒处理
俗科技的博客
02-03 2979
1.使用top和htop指令查看,占用cpu比较高的进程 /tmp/.weblogic/javae 1.杀掉病毒进程 kill -9 病毒进程的PID 2.删除病毒文件 rm -fr /tmp/.weblogic 3.删除tomcat下病毒远程下载程序 停止tomcat进程服务: kill -9 `pgrep java` tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host...
ubuntu18.04 全局美化——-最全
01-09
1、ubuntu 18.04 2、VMware 14 3、美化需要的主题和icon 百度云自取 链接:https://pan.baidu.com/s/1Om8ntCJHm7341a0ZC-emiQ 提取码:4axn 正式开始美化 建议直接使用root登陆ubuntu 系统 方便 第一步 首先要先...
ubuntu下学习tensorflow——one
01-06
3.Ubuntu下操作python: ①:打开Terminal(终端) ②:pwd——打印当前在哪个目录 ③:ls——列出当前路径下的文件和目录 ④:mkdie 目录名——新建目录 ⑤:cd 目录名——进到指定目录 ⑥:python——运行Python...
尝试探索ubuntu——anaconda安装与使用
01-09
ubuntu19.10anacinda清华镜像源安装 学习了一些简单的操作之后就又感觉自己行了,想尝试安装anaconda 1、下载清华镜像源 下载对应最新版本linux-x86-64 2、安装 1)打开.sh文件所在位置 2)运行.sh root@...
root账号设置文件权限失败原因 及解决方法
qq_36725627的博客
09-11 4503
root在修改相关文件java的属性的时候 chmod 777 java chmod: changing permissions of `java': Operation not permitted 首先先查看一下属性 lsattrjava ----ia-------- java 去除i这个属性 chattr -i java chattr -ajava chmod 777 java 添加...
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
玩人工智能的辣条哥的博客
06-21 5446
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4672
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
如何在Ubuntu Linux上开采以太坊?
Free雅轩的博客
03-21 2609
截至最近,加密货币热潮席卷整个互联网社区。人们发现,不需要一个价值数千美元的矿机就可以从中赚钱的加密货币。商店里显卡短缺,淘金热已经席卷了矿商。如果您有一张超过2GB的VRAM,您也可以尝试挖掘。让我们来看看最常见的采矿方式——以太坊。 以太坊被认为是一个伟大的货币,具有很高的潜在利润。要开采以太坊,您需要一个名为“ethminer”的软件,这是一个命令行工具。它可以在多个Linux发行版上运行,但是在本文中,我们将重点介绍Ubuntu 16.0.4/20.04和Debian 8。 在开始之前–为了不
linux服务器被挖矿的解决办法
白雪少年
09-07 9054
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
ubuntu-16.04系统存在可疑账户的应急响应排查工作
07-15
你好!针对Ubuntu 16.04系统存在可疑账户的应急响应排查工作,你可以采取以下步骤: 1. 确认是否存在可疑账户:使用命令"sudo cat /etc/passwd"列出系统中的所有用户账户,查看是否有未知或可疑账户。特别注意root账户和其他具有管理员权限的账户。 2. 检查登录日志:使用命令"sudo cat /var/log/auth.log"或"sudo cat /var/log/secure"查看登录日志,特别关注与可疑账户相关的登录记录。检查登录时间、来源IP、登录方式等信息。 3. 检查进程和网络连接:使用命令"ps -ef"查看当前运行的进程,特别关注与可疑账户相关的进程。使用命令"netstat -antp"查看当前的网络连接,检查是否有与可疑账户相关的异常连接。 4. 分析系统日志:使用命令"sudo cat /var/log/syslog"或"sudo journalctl -xe"查看系统日志,寻找与可疑账户相关的异常行为或错误信息。 5. 检查系统文件和目录:使用命令"sudo find / -user <可疑账户>"检查系统中与可疑账户相关的文件和目录。特别关注是否有异常的脚本、工具或文件被创建或修改。 6. 安全漏洞和补丁检查:确保系统已经安装了最新的安全补丁,并检查是否存在已知的安全漏洞。可使用工具如OpenVAS或Nessus进行系统漏洞扫描。 7. 隔离和清除可疑账户:如果确认存在可疑账户,立即隔离该账户,并清除其访问权限。可以使用命令"sudo userdel -r <可疑账户>"删除账户及其相关文件。 8. 收集取证信息:在排查过程中,及时收集相关的取证信息,包括日志、进程信息、文件修改记录等,以便后续的调查和分析。 9. 安全加固和监控:加强系统的安全配置,更新密码策略、限制远程登录、启用防火墙等措施。同时建议安装和配置安全监控工具,定期检查系统安全状态。 请注意,这只是一个简要的应急响应排查工作指南,并不能覆盖所有情况。在进行操作前,请确保你具备足够的经验和权限,如果需要进一步的帮助,建议咨询专业的安全团队或咨询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值