ubuntu主机被挖矿——排查与应急响应

最新推荐文章于 2024-04-28 13:20:41 发布
最新推荐文章于 2024-04-28 13:20:41 发布
阅读量2.5k 收藏 4
点赞数
分类专栏: 应急响应 文章标签: 应急响应 挖矿病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20533167/article/details/119347378
版权

昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信

我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载

 

直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。

首先查看腾讯云监控的信息,

 

定期登录看看我?伤害不大,侮辱性极强

 

cat ~/.bash_history

看到这里想到之前做一个团队服务器时潦草建了个测试账户

看了看bashhistory, 

嘶,当时雀实够潦草,顺带看了一下,找不到这位黑客老哥的操作记录,清得很干净

顺手也查了last lastb一堆尝试登录的。

查看一下cpu进程

top

 

第一个进程离谱,这个名字也迷惑性很强,

 

好像没问题,但是作为一个协议,长期占用超过85%的cpu,那必然有问题

不急着删他进程,追踪进去看一眼目录

 

下意识看了一下/tmp目录

 

emmmm

满满的

google一下,dhcpd雀实是一个挖矿病毒隐藏的名字,而/tmp下的.ICE-unix也是挖矿病毒,这个深信服的师傅曾经遇到过

https://cloud.tencent.com/developer/article/1370854

现在确定他是挖矿病毒了,几个位置也清楚了,开始清理。

注意:如果你是在甲方那里,发现这种情况,

一定先固定证据!一定先固定证据!一定先固定证据!

直接给系统做个快照,或者做个镜像是做好不过的。

首先检查

        计划任务

        开机自启动

        其他能启动挖矿程序的进程

计划任务:

crontab -l

start.sh是腾讯云的一个服务

也没有问题

开机启动项:

ls /etc/init.d/

 

cat /etc/rc.d/rc.local

 

好像没啥问题

处置病毒:

个人习惯先下载下来,留在自己电脑上(俗称养蛊),然后清理Linux主机的病毒

        删进程

  

      ps -aux

kill -s 9 23000

我的test账户本来就是一个测试账户,没什么用,直接删除即可

userdel -r test

 

基本搞定

看一下病毒本体

拖进IDA

啊,有点复杂啊

还是看专业的师傅来吧https://cloud.tencent.com/developer/article/1370854

这个病毒很狡猾,对我来说难度稍微大了,师傅分析的很到位

发现我的主机被挖矿的时候

第一时间把这个好消息,分享给了hxd,他建议我如果没有很重要的数据,直接重置系统

noway!

这不得水一篇文章吗,在甲方当蓝队的时候我可不敢把这个写出来,否则分分钟律师函警告。

(其实买这个服务器最初就是为了搭一个蜜罐,甲方的蜜罐实在让人眼馋,抓人多好玩!遇到菜的,直接反制,让攻击方变成防守方,防守方开打!

搬出二连长的意大利炮哈哈哈哈)

最后重启一下系统,等一段时间后再观察一下,cpu没有异常的话,就基本确定排查完全且成功。

嘶好像没啥问题了,

4pri1
关注
专栏目录
网络安全事件应急响应实战一
悦分享
09-13 3855
这种划分方法也称PDCERF方法。
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 164
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留hou门、植入GPU WK程序——事件复现(靶场下载地址)
03-02
靶场 对应 应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/122963589?spm=1001.2014.3001.5502
【服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 1万+
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
怎么检查ubuntu22.04服务器机器被挖矿
最新发布
keyboard专栏
04-28 1214
如果怀疑你的 Ubuntu 22.04 系统被挖矿程序占用,可以通过一系列检查步骤来确认这一疑问。
ubuntu清理挖矿病毒
My Struggle
02-16 1766
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
Ubuntu挖矿的经历(附小白解决办法)
qingzhiwu0110的博客
11-20 4212
Ubuntu服务器被挖矿历程警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了!问题:想办法解决:查Google装杀毒软件并杀毒总结 警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了! 问题: 情况是这样,服务器有一段时间没用,后来想要ssh登录的时候发现自己的账户死活登不上去,然后在2020年11月20日,ssh使用root账户登
【安全服务】应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
红队系列-溯源与应急反制专题
aming小老弟
11-09 478
日志分析、流量特征分析、内存马。
Ubuntu Kylin中编译运行cgminer挖矿软件
giantbranch的专栏
05-08 8703
(这是参考开源中国的一个人的,加了点自己的注释和图片,其他的linux可能会有错误,小白不会解决,自己解决吧) //一开始以为要装git,就先装了 sudo apt-get install git //安装一些必要的库 sudo apt-get install build-essential autoconf automake libtool pkg-config libcur
Ubuntu服务器清除挖矿程序
未知丶的博客
10-07 3888
言简意赅,直入主题 早晨ssh登录服务器的时候发现出现情况 screen创建的会话本来还在跑代码的,重新进入一看被terminal了 一脸懵逼地输入nvidia-smi 我了个擦!两张显卡占用一样,而且每秒都是100%,并且都只有一个程序在占用,先是kill一下以示尊敬,下一秒再看又回来了 Top一看,root用户 成了,被入侵挖矿病毒了 看了下日志,被人爆破了,一堆Failed password,可能最后直接遍历出正确答案了 解决一下 直接重装系统,无敌 当然还有另外一种解决方法 一般来说,这种ki
Ubuntu服务器,由于redis漏洞导致被安装挖矿脚本
zxiaoy的专栏
08-11 3336
面向贴了脚本内容,以帮助解决问题。 把脚本添加的定时任务,添加的ssh key,下载的文件等清除就ok了。 不过可能不同版本脚本不一样。 解决办法就是先查看定时任务找到脚本,然后根据脚本,见招拆招就行了。 export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * *
[UBUNTU]挖矿病毒处理
俗科技的博客
02-03 3062
1.使用top和htop指令查看,占用cpu比较高的进程 /tmp/.weblogic/javae 1.杀掉病毒进程 kill -9 病毒进程的PID 2.删除病毒文件 rm -fr /tmp/.weblogic 3.删除tomcat下病毒远程下载程序 停止tomcat进程服务: kill -9 `pgrep java` tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host...
root账号设置文件权限失败原因 及解决方法
qq_36725627的博客
09-11 4562
root在修改相关文件java的属性的时候 chmod 777 java chmod: changing permissions of `java': Operation not permitted 首先先查看一下属性 lsattrjava ----ia-------- java 去除i这个属性 chattr -i java chattr -ajava chmod 777 java 添加...
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-21 5755
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
记一次ubuntu虚拟机被挖矿木马攻击的过程
李迟的专栏
06-05 1万+
事由: 今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现被挖矿木马攻击了。
Ubuntu清除挖矿病毒的一次记录
OTZ_2333的博客
02-24 4030
第一次遇到服务器被别人入侵挖矿,在专业人员的帮助下找到并清除了挖矿病毒。这篇博客只是我的一个记录,不一定适用所有的情况,不过还是希望能给大家一定帮助。 发现问题:有程序使用了大量的GPU资源,询问了账号的主人发现并不是ta的程序,而且使用root身份kill后会自动重启。 此外,通过ps -aux命令显示,该程序的命令为一个文件夹,用过conda的人都知道/bin下面的python是一个可执行文件,而非文件夹;跟别说里面有一个pytorch文件夹 并且文件夹anaconda3根本不存在,该服务器装的
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4716
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
linux服务器被挖矿的解决办法
白雪少年
09-07 9462
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
VMware中Ubuntu主机文件共享教程
在VMware环境下,Ubuntu作为虚拟机与主机之间共享文件是常见的需求,这通常通过网络配置和文件挂载技术实现。以下是一个详细的步骤指南: 首先,你需要在VMware中调整虚拟机的网络设置。进入虚拟机的设置界面,选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值