named服务异常日志带出来的挖矿病毒

最新推荐文章于 2024-04-15 00:19:21 发布
最新推荐文章于 2024-04-15 00:19:21 发布
阅读量490 收藏
点赞数 1
文章标签: ssh 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010101453/article/details/130815163
版权

现象:自己搭建的一台DNS server,狂刷日志:

关键字: client donate.v2.xmrig.com query cache denied

根据日志可知,是客户端20.20.20.203,一直在向该节点解析域名。

ssh到203节点后,cat /etc/resolv.conf,通过其配置也能证明这一点。

在203节点,使用ps aux或者ps -efH,没有发现任何异常进程,最后通过top命令:

确认病毒PID。再通过ps查看,发现其做了个小隐藏:

 这样通过ps看到的进程名就是bash。

知道PID后,就可以定位病毒位置了。一般这种病毒,都会有定时任务,可以再查一下定时任务。

 

云闲懒随风
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python loguru日志库之高效输出控制台日志日志记录
09-17
主要介绍了python loguru日志库之高效输出控制台日志日志记录的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Named Pipe TCP Proxy.rar
08-06
Named Pipe TCP Proxy 终端控制台与模拟器连接,串口重定向工具,在vmware ORACLE VirtualBox等模拟器下使用 作为虚拟机之间的管理桥梁,很多时候还能非常有帮助的
2024陇剑杯答题笔记(更新中),2024年最新网络安全权限处理
最新发布
2401_83946044的博客
04-15 755
检查Nginx日志(/var/log/nginx/access.log)中查看访问信息,可以在最后找到ua信息为Mozilla/5.0 (compatible;可能是开机自启,所以检查/root/lib/systemd/system/和/etc/systemd/system/,在/root/lib/systemd/system/中找到了redis.service文件。值得注意的是%27为。所以答案为/lib/systemd/system/redis.service,转换格式为。所以真正的后门文件为。
BIND 服务器修复多个高危漏洞
smellycat000的专栏
03-21 1318
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士互联网系统协会 (ISC) 发布安全更新,修复了位于广泛部署的 BIND 服务器软件中的多个高危漏洞。ISC 发布安全公告称,最新的安全...
named linux 日志文件,linux – DNS查询响应日志记录
weixin_42135462的博客
04-30 634
BIND中没有规定使用logging指令记录查询的答案.此外,除了隐私考虑因素之外,DNS服务可以更有效地远程记录它们而不是文件.通常人们运行dnscap来捕获/嗅探DNS查询以进行安全性分析.dnscap is a network capture utility designed specifically for DNStraffic. It produces binary data in pc...
dns协议类漏洞学习--结合snort分析(二)
Yale的博客
04-18 1661
cve-2014-8500 漏洞描述: ISC BIND 9.0.x到9.8.x,9.9.0到9.9.6和9.10.0到9.10.1不限制delegation chaining,允许远程攻击者通过大量的或无限数量的referrals造成拒绝服务(内存消耗和named崩溃) (https://nvd.nist.gov/vuln/detail/CVE-2014-8500) 该漏洞产生于受影响的BIND...
xmrig-6.2.2-msvc-win64_xmrig_msvc-win64_源码
10-02
xmrig version 6.2.2 windows binary
2023陇剑杯
qq_64201116的博客
09-18 1009
​首先判断哪个是服务器地址​从响应包看,给客户端返回数据包的就是服务器所以确定服务器地址是​再从开放端口来看,长期开放的端口​所以就是80、888、8888。
2023陇剑杯答题笔记(更新中)
Mad Soycat的博客
03-14 887
打开流量包,按照时间顺序可以推测192.168.162.180为服务器ip,192.168.162.188为客户机ip。于是首先过滤出服务器响应的部分可以使用过滤器输入命令,表示过滤出目标ip为188的SYN-ACK包。这是由于TCP三次握手中,服务端会返回SYN-ACK包完成过滤后检查数据包,可以看到Src Port就是服务器开放端口全部检查后发现总共三个:80, 888和8888,就是最后的答案。
linux的Systemctl挖矿病毒清扫
m0_37922496的博客
09-10 3409
问题描述 服务器被感染了病毒,伪装成合法进程使用浪费cpu算力 在服务器中目前发现机器下面有两种可能存在的进程 一种是top种存在进程 69259 huawei 20 0 2420084 315660 2532 S 1199 1.0 135726:38 syst3md 另一种是存在进程 13614 huawei 20 0 7210224 4.586g 7896 S 2794 1.8 303625:06 cnrig 如图所示 服务中存在进程占满12核的CPU,显示的进程
浅析基于Red Hat Linux9下如何架设Named服务器.pdf
09-06
浅析基于Red Hat Linux9下如何架设Named服务器.pdf
namedpipeserver.rar_NamedPipes_XUX
09-24
inter process communication
pycharm运行出现ImportError:No module named的解决方法
09-20
今天小编就为大家分享一篇pycharm运行出现ImportError:No module named的解决方法。具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
named linux 日志文件,Linux运维实战之DNS综合实验
weixin_42300478的博客
04-30 667
(3)在”/etc/named.rfc1912.zones”文件中定义区域(com、net和org):(4)将“/var/named/named.ca”文件的内容改为我们自建的根DNS的内容:(5)在“/var/named/”目录下新建三个区域文件(com.zone,net.zone,org.zone):(6)修改com.zone,org.zone和net.zone的权限及属组,并检查语法:(7)...
named linux 日志文件,Linux下配置DNS服务器日志
weixin_34157892的博客
04-30 1341
# touch /var/named/chroot/var/named/named.log# chown named.named /var/named/chroot/var/named/named.log# chmod 755 /var/named/chroot/var/named/named.log# service named restart并且确保 selinux是关闭状态(查看/etc/s...
linux的DNS的named无响应,服务器_探查Linux系统DNS服务器运行状况, 在Linux环境下,也提供了广 - phpStudy...
weixin_33023873的博客
05-14 521
探查Linux系统DNS服务器运行状况在Linux环境下,也提供了广泛流行的BIND服务器,它是构建DNS服务器最常用的服务器软件。介绍BIND的安装的文章现在很多,现在我们就一起来谈一下维护的话题。我们如何才能够了解DNS服务器的运行情况下呢,它忙不忙、负载大不大?这一切,对于系统管理员而言,是比较重要的。想了解DNS服务器的运行状况,可以通过查看DNS服务器在运行时所产生的日志文件来实现。BI...
配置named服务之前的 相关术语意思
weixin_34111819的博客
01-05 464
putty: [p^ti]: 油灰, 腻子,像 clay 粘土一样起 连接作用. 非常简洁,只有500多kB, 不需要安装,纯绿色的,版本还是0.x, Simon Tatham, 甚至没有主界面,没有菜单/工具栏什么的, 仅仅只有一个创建连接的对话框, 连接后就只有一个方框了. 通常 没有如果没有什么特殊原因, 都是直接使用 这个 putty (油灰/腻子) 来连接的了. 更深刻地理解linu...
rehl7如何重装named服务器
05-17
要重装named服务器,您需要执行以下步骤: 1. 卸载当前已安装的named软件。您可以使用以下命令卸载: ``` sudo yum remove bind bind-utils ``` 2. 清除named的配置文件和数据。这些文件通常位于`/etc/named`和`/var/named`目录下。使用以下命令删除这些文件: ``` sudo rm -rf /etc/named* sudo rm -rf /var/named* ``` 3. 安装新版本的named软件。您可以使用以下命令安装: ``` sudo yum install bind bind-utils ``` 4. 配置新的named服务。您需要编辑`/etc/named.conf`文件并添加您的DNS配置。请确保您的配置文件格式正确,并且没有任何错误。 5. 启动named服务。使用以下命令启动服务: ``` sudo systemctl start named ``` 6. 确认named服务已经启动,并且没有任何错误。您可以使用以下命令查看named服务的状态: ``` sudo systemctl status named ``` 以上步骤可以帮助您重装named服务器。请注意,在执行这些步骤之前,请备份您的配置和数据文件以避免任何数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值