TeamTNT变种清除步骤

最新推荐文章于 2024-06-08 22:27:40 发布
最新推荐文章于 2024-06-08 22:27:40 发布
阅读量491 收藏 1
点赞数
分类专栏: linux 文章标签: linux 运维 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43084874/article/details/122253585
版权

前几天由于测试环境暂时需要一个redis服务用来测试,某同事在一台空闲阿里的ECS上手动部署了一个,没有设置密码,使用默认端口,对外开放…
今天就收到了来自阿里云以及钉钉群的报警通知,时间是凌晨5点多,由于服务器加入了阿里的云安全旗舰版,所以第一时间就被阿里安全中心给检测到进行了查杀,为了安全起见,还是决定手动看看有没有遗漏的地方。

在这里插入图片描述
在这里插入图片描述
看详情应该是下载有害脚本到服务器进行挖矿以及横向感染等操作,

看系统可疑进程

由于阿里安全中心这里已经处理过,所以并没有找到可疑进程
如果是自己的虚拟机,可能一些系统命令比如top会被污染,那么可以手动上传安装busybox来查看

在这里插入图片描述

看redis日志

由于同事粗心,并没有配置日志文件,redis日志默认在启动界面,所以没法查看

查看/etc/passwd/在这里插入图片描述

用户正常

查看免密登录

在这里插入图片描述
也是正常

查看定时任务cron

cront -l

发现存在下载脚本的计划,
直接 crontab -e 进去后DD 删除内容并保存推出。

在这里插入图片描述

查找报警时间段修改过的文件

[root@test-code ~]# find / -type f -newermt "2021-12-31 05:00" ! -newermt "2021-12-31 09:30"
/etc/crontab
/etc/cron.d/zzh
/opt/redis/data/backup.db
/usr/local/aegis/aegis_client/aegis_11_17/rule/vuldata.dat
/usr/local/aegis/PythonLoader/data/data.25482.5
/usr/local/aegis/PythonLoader/data/data.25621.5
/usr/local/aegis/PythonLoader/data/debug_secguard.log
/usr/local/aegis/globalcfg/aegisdb/dircache.db
/var/log/lastlog
/var/log/mysqld.log
/var/log/wtmp
/var/spool/cron/root
/var/spool/postfix/pid/unix.local
/var/spool/postfix/pid/unix.cleanup

cat /etc/cron.d/zzh
在这里插入图片描述

检查利用chattr 添加ia权限的文件

find /etc/ /home/ /root/ -newermt “10:00” ! -newermt “12:30” -type f -exec lsattr {} ;
如果有
find /etc/ /home/ /root/ -newermt “10:00” ! -newermt “12:30” -type f -exec chattr -ai {} ;
然后看哪些是可疑文件进行清楚

netstat 查看可以请求

查找缺失或被替换的命令:使用rpm -Va

用rpm比对被修改过的命令。missing表示命令找不到了,5代表MD5发生了改变,有可能对应的命令文件被替换或有修改。M则表示命令的权限发生了修改。
具体每个值的含义如下:
S 文件大小是否改变
M 文件的类型或文件的权限(rwx)是否被改变
5 文件MD5校验是否改变(可以看成文件内容是否改变)
D 设备中,从代码是否改变
L 文件路径是否改变
U 文件的属主(所有者)是否改变
G 文件的属组是否改变
T 文件的修改时间是否改变

rpm -Va |grep bin/

如果有,直接使用yum reinstall重新安装
查找命令对应的安装包可以使用
yum whatprovides command
如 yum whatprovides cat在这里插入图片描述
一切检查完,重新修改redis配置文件,修改端口以及配置密码
重启服务,阿里云安全组配置对应端口白名单,防止再次被污染。

检查完这些,基本就差不多了,如果实在不方便可以回滚快照或者重装系统。

蒙多不减肥
关注
专栏目录
Python库 | aegis_tools-0.9.9-py3-none-any.whl
05-02
资源分类:Python库 所属语言:Python 资源全名:aegis_tools-0.9.9-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
网易我的世界服务器清除TNT,以及圈地领地,命令方块使用
热门推荐
abcd5711664321的博客
06-11 1万+
  想要阻止TNT源源不断来袭击我们,首先我们需要在地上放四个命令方块,一个是不循环的,另外三个是循环的命令块。在设定好之后,就可以打开后台来输入指令代码来执行阻止TNT的行为。   首先是第一个命令方块,指令代码为:kill @e[type=tnt]这个命令方块的作用是清除激活的TNT,是一个循环的命令方块。由于是用来清理掉那些已经激活了TNT,所以肯定就不会是不循环的命令方块。所以,大家记得.....................
chattr命令
09-20 321
chattr命令用于改变文件属性. 这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式: a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S...
再次捕获云上在野容器攻击,TeamTNT黑产攻击方法揭秘
wangluoanquan111的博客
08-09 343
Rootkit初始化部分会hook getdents、getdents64 和kill 三个函数,其中被hook的kill函数用于接受命令,进行进程隐藏、root等动作。Hacked_kill 定义了3个参数,31 用来隐藏进程,64用来获取root,63用来隐藏自身模块。被hook的kill代码如下:通过 for_each_process遍历进程列表找到目标进程,把进程标志设置为PF_INVISIBLE 从而达到隐藏进程的目标。Find_task代码如下:
一次完美彻底的挖矿病毒清理记录,快学起来
qq_42483521的博客
02-09 7391
文章记录服务器中挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
阿里云aegis服务脚本
My Notes
01-05 1万+
#!/bin/bash #chkconfig: 2345 80 05 #description: aegis service AEGIS_INSTALL_DIR="/usr/local/aegis" if [ `id -u` -ne "0" ]; then     echo "ERROR: Permission denied." 1>&2     exit 1 fi
阿里云的一个安装脚本
My Notes
01-05 2077
#!/bin/bash if [ `uname -m` = "x86_64" ]; then     ARCH="linux64" else     ARCH="linux32" fi AEGIS_UPDATE_SITE="http://update.aegis.aliyun.com/download" AEGIS_INSTALL_DIR="/usr/local/aegis"
Java:105-病毒文件造成cpu爆满的解决方式
qq_59609098的博客
03-16 582
top #就是top,没有其他参数哦。
云服务器CPU和内存直接被zzh恶意挖矿程序打满,如何解决?
最新发布
lin1151211427的博客
06-08 426
最近在服务器上面部署网站,刚开始使用还是没问题的,当时一段时间之后发现CPU和内存总是被打满,本地没有跑大的应用,主要有mysql、nginx、redis,一度还以为是nginx 的问题,但是后来排除了。在网上查阅资料之后,发现服务器是被恶意攻击了。在redis.conf中将bind 后面的地址换成需要访问这台数据库的IP地址在,另外给redis设置密码,最后的话修改redis的运行章,以低一点的权限来运行redis服务,禁用这个账号的登录权限。kill进程之后CPU占用率下降到正常水平。
服务器CPU占用高问题处理记录
可惜没如果的博客
09-09 2040
Linux服务器CPU占用高问题处理记录
删库跑路RM
风行天下
11-12 859
rm -rf / 命令都用不了了
mysql 任务计划 /etc/cron.d_Linux /etc/cron.d增加定时任务
weixin_33376592的博客
02-27 449
一般情况下我们添加计划任务时,都是直接修改/etc/crontab。但是,不建议这样做,/etc/cron.d目录就是为了分项目设置计划任务而创建的。例如,增加一项定时的备份任务,我们可以这样处理:在/etc/cron.d目录下新建文件crontabAdd,内容如下:# m h dom mon dow user command*/1 * * * * root test >> test....
查杀我这辈子有幸遇到的第一个Linux病毒 (by quqi99)
技术并艺术着
08-17 2037
作者:张华 发表于:2021-08-17 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 问题 本人有一个腾讯虚机,昨天忽然ssh不上去了,控制台重启之后就又上去了,所以也就过去了。 可是今天又遇到了同样情况,不能总重启啊,得好好研究一下怎么回事了。 关闭云镜 使用top命令看到有个叫什么YunJing的进程,搜索一番后通过下列命令删除。 sudo /usr/local/qcloud/stargate/admin/uninstall.sh sudo /usr/loca
ubuntu,Debian卸载阿里云盾监控shell脚本:Syntax error: Bad for loop variable错误解决方法
hu5566798的博客
06-10 1534
卸载阿里云盾监控shell脚本 该操作适合CentOS系统。 当执行 sh uninstall.sh 或者 sh quartz_uninstall.sh 报错,Syntax error: Bad for loop variable 查看2个sh文件都是执行到这句出现问题。 for ((var=2; var<=5; var++)) do 分析: 从 ubuntu,Debian新版本, 就将先前默认的bash shell 更换成了dash shell;其表现为 /bin/sh...
阿里云服务器被挖矿的解决方法
qq_47464056的博客
07-25 5003
云服务器被入侵植入挖矿程序!
ps命令
WindrunnerMax
02-10 658
ps命令 Linux是一个多任务、多用户的操作系统,因此它允许多个进程同时运行而不相互干扰,进程是Linux操作系统的重要基本概念之一,进程是程序的执行实例,在操作系统中执行不同的任务。Linux为我们提供了一个名为ps的实用程序,用于查看与系统上的进程相关的信息,它是process status进程状态的缩写,ps命令用于列出当前正在运行的进程,它们的pid以及一些其他信息取决于不同的选项,它从/proc文件系统中的虚拟文件读取进程信息,/proc包含虚拟文件,这就是它被称为虚拟文件系统的原因,proce
阿里云监控平台分析
老陈小安的专栏
03-06 5100
试分析阿里云监控系统
Python 字符串
水蓝冰镜
12-10 293
Python 字符串 字符串是Python中最流行的类型。我们可以创建只包含在引号字符。 Python把单引号与双引号相同。 创建的字符串是简单的,只要分配给一个变量的值。 例如: var1 = 'Hello World!' var2 = "Python Programming" 访问字符串值: Python不支持的字符类型,这些都是作为一个长度的字符串
游戏引擎全对比:从2D到3D的顶尖选择
4. **Boom**:源自Doom游戏的源代码,由TeamTNT维护,用于Doom系列游戏的修改和扩展。 5. **Build**:主要用于经典游戏Duke Nukem 3D的开发,是一款3D射击游戏引擎。 6. **Bullet**:一个强大的物理模拟库,适用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蒙多不减肥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值