pamdicks 挖矿程序处理

最新推荐文章于 2023-11-29 14:20:41 发布
最新推荐文章于 2023-11-29 14:20:41 发布
阅读量958 收藏
点赞数
分类专栏: 问题总结 CentOS 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangbin0505/article/details/108128545
版权
问题总结 同时被 2 个专栏收录
18 篇文章 3 订阅 ¥29.90 ¥99.00
订阅专栏
CentOS 7
66 篇文章 3 订阅
订阅专栏

安装sysdig

curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

检测所有程序已隐藏进程

sysdig -c topprocs_cpu

ll -h /proc/“pid”/

根据系统环境变量,检查各目录下是否存在pamdicks

find / -name pamdicks
共计有两个/usr/bin/pamdicks和/bin/pamdicks

解决:

删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。

rm -rf /usr/bin/pamdicks /bin/pamdicks
touch /usr/bin/pamdicks /bin/pamdicks
chattr +i /usr/bin/pamdicks /bin/pamdicks
sysdig -c topprocs_cpu
kill -9 16352

tangbin0505
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
Sysdig 安装
gam0n的博客
08-29 922
sysdig在linux(以ubuntu为例)上安装 1.自动安装 以root用户执行: curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash 然后install-sysdig脚本会下载对应的系统版本进行自动安装。 2.手动安装 curl -s https://s...
python挖矿木马_centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
weixin_39968820的博客
12-06 216
###故障说明故障环境配置 开发测试服务器(腾讯云); 系统:centos7 ; 程序启动模式:root用户直接启动; 网络环境:所有端口全部对外开放(使用仅屏蔽部分关键端口ssh,redis,rabbitmq等); 为方便服务器间数据传输方便,采用了ssh互信方式。故障现象 开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。 在检测异常进程中,未发现CPU使...
centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 593
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 865
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
记一次挖矿木马pamdicks的解决过程
qq_26147675的博客
11-19 1564
最近安装redis的时候不慎忘记了设置redis密码,导致6379端口受到挖矿病毒攻击,伪造公钥进行免密登录,种下了挖矿木马,经过四个小时的对线终于把病毒干掉,世界清静了。
pamdicks挖矿病毒处理
初级驾照的博客
11-29 120
【代码】pamdicks挖矿病毒处理。
websphere 使用大全
08-28
1、基本介绍 2、节点部署 3、集群部署 4、服务部署 5、应用部署 6、数据库配置 7、环境配置 8、端口配置 9、日常维护 10、was jdk 安装
超强的系统挖掘工具sysdig
weixin_34411563的博客
11-15 498
sysdig是sysdig cloud 出品的主要基于Lua语言开发一个超强的工具,就像其在站点首页上所描述的“Sysdig is open source, system-level exploration: capture system state and activity from a running Linux instance, then save, filter ...
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5033
linux挖矿病毒已解决
关于redis服务器d.powreofwish.com注入挖矿程序的问题
LeeKwen的专栏
12-31 1094
概述 全文参见《近期基于Redis蜜罐捕获的恶意挖矿活动》 链接地址:https://www.freebuf.com/articles/system/256715.html 这里是搭建了一个蜜罐,等待攻击者入瓮,而实际在生产环境中,因为Redis弱密码的存在,导致自己的服务器成为了攻击者。 攻击者通过redis的默认端口,弱口令密码,注入到redis服务器内部,大概有4个Back1-4的crontab进程。 如下图,图来自FreeBUF,为借图: 对应下载文件的链接地址:http://d..
记录一次被挖矿的惨痛经历
yangziqi098的博客
08-05 1909
top,看哪个占用高 然后去etc找update.sh 挨个chattr -i {文件名} 然后chmod 000 {文件名} 最后 rm -r {文件名} chmod 777 /etc/sysupdate chattr +i /etc/sysupdate chmod 777 /etc/networkservice chattr +i /etc/networkservice chmod 777 /etc/config.json chattr +i /...
【教你搭建服务器系列】(7)一次服务器被黑的排查全过程
HaC 的博客
06-01 3221
前一阵子腾讯云搞活动,哈C我买了个轻量级的服务器,部署了自己的网站。 一切都井然有条的进行中。 直到某天清晨,我一如既往的打开我的网站,发现网站竟然打不开了。 于是我进行了一系列的排查。 1、排查日志 第一时间想到的就是登录服务器,查看异常登录的日志。 好家伙,我发现服务器竟然无法登录了! 1)VNC登录服务器 第一时间想到的应该是密码登录被禁用了。 于是我在腾讯云后台使用VNC登录。 无法通过客户端SSH远程登录时,可以通过VNC登录来登录服务器. 2)查看sshd_config文件 查看了/et
Linux 安全之pam后门
weixin_34218890的博客
12-20 416
本文方法来自网络:Sky原创本文测试环境为:RHEL 6.1 X64一.查看系统pam版本:[root@redkey ~]# rpm -qa | grep pam pam-1.1.1-4.el6.x86_64二.下载对应版本的pam模块http://www.linux-pam.org/library/三.解压&修改pam_unix_auth.c文件tar -xzvf ...
Linux中pam模块详解
热门推荐
wbiblem的博客
05-09 2万+
Linux中pam模块pam简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制。这种方式下,就算升级本地认证机制,也不用修改程序. PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放
挖矿木马追踪】GuardMiner团伙
Websec
03-10 2813
原文章:https://s.tencent.com/research/report/1265.html 该挖矿木马具备较强的自动化攻击和扩散感染能力; l攻击成功后的恶意脚本会关闭linux防火墙,使系统安全性进一步下降; l会禁用或卸载多款云主机安全软件; l从比特币交易记录中动态获取C2地址; l会清除竞品挖矿木马,杀死CPU占用超过40%的进程; l依次下载挖矿程序、守护程序和攻击程序; l通过通过安装crontab任务、写入SSH authorized_key...
PAM模块介绍(超详细)
is_old_zhao的博客
09-10 1954
PAM模块介绍(超详细) /etc/pam.d/* 每个程序个别的 PAM 配置文件 /lib64/security/* PAM 模块文件的实际放置目录 /etc/security/* 其他 PAM 环境的配置文件 /usr/share/doc/pam-*/ /usr/share/doc/pam-1.1.8/txts 详细的 PAM 说明文件 以下链接超详细 https://wenku.baidu.com/view/d98ef884f12d2af90242e6fe.html ...
0821-NRZ和PAM4
liangpi777的博客
08-21 6426
NRZ 1.NRZ编码 NRZ 编码(Non-return-to-zero Code)是不需要归零的。只有+1和-1。一个周期全部用来传送数据,缺乏自同步特性。 >> fs = 8000; %采样频率 fc1 = 200; %载波频率 fc2 = 500; %载波频率 RB = 100; %码元速率 M = 2; %二进制调制 k = log2(M); N = 10000; %比特数 n = 2^(ceil(log2(N*fs/RB)));
你所不知道Linux下的chattr命令
JiekeXu的博客
05-21 8398
先简单介绍一下怎么和这个命令结缘的,在说明这个命令的用途。因本人公司要在一台Azure云服务器上搭建应用,此服务器是64位centos7.1的linux系统3.0以上内核。原由起初是无法使用XFTP等相关软件上传本地软件。配置sftp后重启服务然后reboot,一个reboot后无法使用CRT等ssh连接,立刻联系原厂解决,通过后台控制登陆进去,将之前搭建SFTP的配置文件/etc/ssh/ssh...
linux感染挖矿病毒
最新发布
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒的解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值