清除linux挖矿木马[crypto]的过程

最新推荐文章于 2024-04-23 14:16:14 发布
最新推荐文章于 2024-04-23 14:16:14 发布
阅读量5k 收藏 28
点赞数 11
分类专栏: Linux 文章标签: linux shell centos 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41318794/article/details/114062164
版权

朋友反馈,阿里云管控台报警,cpu占用100%,瞬间想到挖矿木马(因为本驴之前中过招,排查过程点开本驴主页微头条寻找)。
排查过程如下:
1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但阿里云管控台上显示的cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,发现名为[crypto]的进程可疑,查一下它访问的ip地址,发现是新加坡的,基本就是他了。
在这里插入图片描述
在这里插入图片描述

3、该进程pid为467,lsof -p 467找到它的执行文件,在/usr/share下,进去之后可以看到[crypto],[crypto].sh等文件,这些很显然就是木马的执行文件、启动脚本、日志等等。
在这里插入图片描述

4、直接rm -rf发现可以删掉,居然没有赋权限。
5、kill掉木马进程,发现cpu恢复正常。
6、一般这种木马必定留有后门,查看authorized_keys文件发现不对劲,黑客留下了自己的ssh秘钥,可以直接登进服务器,必须删掉。
7、直接rm -rf提示没权限,于是chmod 777 authorized_keys赋权限,继续删,依旧提示没权限。
8、应该是被人用chattr命令加了不可修改的属性,执行lsattr发现确实是这样,被加了ia属性,不可修改,不可删除。
9、chattr -ia authorized_keys去除这个属性,居然依旧报错,这可就怪异了,这不可能啊。
在这里插入图片描述

10、思考之后,认为应该是有人篡改了chattr命令,cd /usr/bin 发现chattr文件是白色的,不是一个可执行文件。。。果然如此。
在这里插入图片描述

11、chmod -x chattr让他变成可执行文件,不出意外,提示没有权限。。。执行lsattr命令后,发现其被赋予了i属性,不可修改。这就操蛋了,我根本就不知道黑客把chattr命令替换成了什么,这么多的文件,不好排查。
12、一度想放弃,后来急中生智,从本驴自己的服务器上拷贝一份chattr文件到朋友的服务器中,重命名为chattr1,执行命令chattr1 -i chattr,居然可以!
13、恢复chattr文件后,解除authorized_keys文件的ia属性,然后成功删除该文件。
14、排查了定时任务,没有发现守护进程,至此,挖矿木马清除完成!

BUG开发工程师-
关注
  • 11
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
Linux内核crypto子系统的调用逻辑
CHYabc123456hh的博客
12-29 2127
testmgr.c - crypto/testmgr.c - Linux source code (v5.15.11) - Bootlin 上述代码是内核内部即crypto子系统对外提供密码服务的测试程序 调用流程:crypto API <—> crypto core <—> crypto_register_alg 处于用户态的程序想要调用处于内核态的密码算法,需要使用crypto_register_alg函数提交对应的相关信息,进行注册,将一个内核支持的算法注册到crypto
linux 常见进程
Peisl的专栏
10-17 1809
/sbin/init 内核启动的第一个用户级进程,引导用户空间服务   [kthreadd] 内核线程管理 [migration/0] 用于进程在不同的CPU间迁移 [ksoftirqd/0] 内核调度/管理第0个CPU软中断的守护进程 [migration/1] 管理
Linuxcentos7)常见安全挖矿问题
最新发布
weixin_41421314的博客
04-23 905
centos安全配置、解决挖矿问题
linux crypto
u014044624的博客
05-17 465
The Linux Kernel-crypto The Linux Kernel-crypto-AEAD_API Kernel Crypto框架 Linux内核crypto子系统学习笔记 Linux内核密码学API--对称密码 AES-GCM加密算法的简单介绍 CCM加密学习 CCM-AES从Linux内核(CCM-AES from Linux Kernel) Linux加解密支持模块代码总体描述 Linux加解密支持模块代码总体描述 Linux加解密支持模块代码详细分析之核心文件分析
记一次服务器清除挖矿木马操作记录
skyfans的博客
12-24 1942
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了。问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众多重要的程序内容,无法直接重装操作系统。。。 这特么不是围栏老子呢吗? 好吧,抱着试一试的态度,我们来试一哈解决处理下吧。 1.查看现象 top 可以看到,一个进程2N6f1P,狠占CPU,占到...
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1621
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
linux里的进程简介
yangruibao的专栏
04-24 1400
http://bbs.csdn.net/topics/360160535 /sbin/init         内核启动的第一个用户级进程,引导用户空间服务     [kthreadd]         内核线程管理 [migration/0]      用于进程在不同的CPU间迁移 [ksoftirqd/0]      内核调度/管理第0个CPU软中断的守护进程 [migr
IIS Crypto 3.2 下载
07-26
IIS Crypto 是一个免费工具,让管理员能够在 Windows Server 2008、2012、2016 和 2019 上启用或禁用协议、密码、哈希和密钥交换算法。一键禁用不安全的 SSL 3、TLS 1.0,开启TLS 1.2、TLS 1.3 非常方便
crypto_CRYPTO_PowerBuilder_
09-29
2. **crypto10_mig.log** - 这可能是迁移或更新到Crypto 10过程中产生的日志文件,记录了操作过程和可能遇到的问题。 3. **crypto10.pbl** - PowerBuilder库文件,其中可能包含了实现Crypto 10功能的源代码或对象。 ...
Linux 加密文件系统
03-14
近年来随着嵌入式设备应用的不断推广,对个人敏感数据的保护成为人们关注的热点问题,因此对嵌入式设备文件系统的加密成为未来不可或缺的一环,用于对嵌入式设备文件和文件夹进行加密,防止其数据被其他用户或者外部...
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
JavaScript的加密算法类库:crypto-js
02-06
JavaScript的加密算法类库Crypto-js是前端开发中用于安全数据处理的重要工具,它提供了一系列的加密和解密功能,使得开发者无需后端支持就能在浏览器环境中实现数据的安全传输和存储。这个库支持多种常见的加密算法...
LINUX磁盘加密之CRYPTO
武溪嵌人
03-01 1301
http://www.2cto.com/Article/201309/243900.html 近分析rc.sysinit启动脚本,正遇磁盘加密之部分,经一番细研,非三言二意可所得。故,捋整究探,分二段于下:挪步接踵设建为先,启动方法分析佐后。 使用crypto可以对多数类unix系统中的块设备进行底层数据加密,即在文件系统之下加密。对块设备加密完成后,再对该设备进行文件系统的格式化处理
Linux内核中使用crypto进行sha1方法
Rain的博客
05-30 3716
在编写Linux驱动的时候常常需要对内核空间的某些数据进行hash计算,而在编写内核模块的时候很多用户空间的方法不能使用,例如Openssl(理论上可以,但是我没成功过)。但是Linux自身提供了一个Crypto API对数据进行各种加密计算,使用这个API就能够在内核模块中进行一些加密和签名操作,下面以sha1位例子。 头文件需要包含: #include <crypto/hash.h&gt...
Linux加密框架的应用示例(一)
weixin_43916535的博客
10-18 1750
创建哈希算法实例 crypto_alloc_ahash函数 加密框架中的哈希算法可以是同步方式实现的也可以是异步方式实现的,但是算法应用不关注哈希算法的实现方式,关注的是哈希算法提供的算法接口。为实现统一管理,加密框架将哈希算法的外部接口统一定义为异步哈希算法接口。 算法实例是算法应用和加密框架之间的桥梁,算法应用通过算法实例实现算法调用。以哈希算法实例为例,在IPSEC框架的AH协议模块中,协议状态初始化(ah_init_state函数)时,将根据配置的认证算法名(x->aalg->alg
linux 使用cryptop++安装过程。 问题:Unresolved inclusion “hodes.h”
aaashen的专栏
02-12 2113
安装cryptop++命令: apt-cache pkgnames | grep -i crypto++ sudo apt-get install libcrypto++9 libcrypto++-dev libcrypto++9-dbg 然后我安装了eclipse for c++ 然后按照这个帖子进行设置eclipse: http://programmingknowledgeblog.blo
linux服务器进程信息查看命令
标配的小号
06-26 9768
#lsof 列出当前系统打开文件,常与-i选项使用,用于查看某个端口被哪个程序占用 [root@bogon ~]# lsof -i:80 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME httpd 6701 root 4u IPv6 64259 0t0 TCP *:http (LISTEN) httpd
smarTTY 新建连接时报错 Cryptographic container is corrupt
ltao的记事本
12-15 299
smarTTY 新建连接时报错 Cryptographic container is corrupt
kill -9 pid杀不掉的进程
热门推荐
大鱼的博客
11-23 1万+
准备杀掉mysql的进程,可是似乎没有效果:  结果:   解决方法: 查看是不是有僵尸进程 发现把自己的root给杀死了。。。然后重新获得超级管理员权限  终于杀死了 可是,现在细想发现,之前kill mysql的时候,不应该kill 3984,就应该直接kill 3629 重新登录root用户时,没有了3984了...
linux操作系统Crypto模块
05-31
Linux操作系统中,Crypto模块是用于提供加密和解密功能的模块,可以用于实现各种加密算法和安全协议。Crypto模块主要包括以下几个方面的功能: 1. 加密算法支持:Crypto模块支持多种加密算法,包括对称加密算法(如AES、DES、3DES等)、非对称加密算法(如RSA、ECC等)以及哈希算法(如SHA-1、SHA-256等)等。 2. 随机数生成器:Crypto模块可以生成高质量的随机数,用于密钥的生成和协议的安全性保障。 3. SSL/TLS支持:Crypto模块可以提供SSL/TLS的加密和解密功能,用于保护网络通信的安全性。 4. 内核API支持:Crypto模块可以提供内核API,使得内核和驱动程序可以使用加密和解密功能,从而保护系统的安全性。 在Linux系统中,Crypto模块是一个可选的内核模块,需要在内核编译时进行配置和编译。在使用Crypto模块时,需要先加载Crypto模块,然后通过系统调用或者内核API进行加密和解密操作。同时,为了保证安全性,需要注意密钥的生成和管理、算法的选择和配置等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值