挖矿病毒清理记录(隐藏进程处理)

已于 2024-06-27 09:28:57 修改
阅读量237 收藏 1
点赞数 2
分类专栏: 安全相关 文章标签: linux 服务器 运维
于 2024-05-21 10:19:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011196880/article/details/139085369
版权

初步排查及处理

阿里云ECS报CPU预警

top命令查看cpu总占用率已超50%,但单独的进程加起来未超10%,怀疑有隐藏进程

安装busybox:

安装方法: 
wget --no-check-certificate https://busybox.net/downloads/binaries/1.31.0-defconfig-multiarch-musl/busybox-x86_64  

cp busybox-x86_64  /usr/bin/busybox 

chmod +x /usr/bin/busybox 

查看进程: busybox top

发现有异常进程CPU占用率近50%

找到对应目录,发现有异常文件:

删除异常文件

kill掉异常进程后发现,过段时间又自动重启,查看定时任务,发现有从远程拉取执行文件:

查看该地址:

在ecs中配置出访拒绝该ip出访请求

删除定时任务

打开定时任务配置文件发现有异常的配置和巡检,查询相关文件并删除

发现异常的定时任务配置,将该配置删除或者注释掉

监控一段时间后,发现CPU占用率恢复到正常水平,异常进程也未启动。

处理完毕。

后续高级处理

查看定时任务发现,定时任务中有从外网拉取可执行脚本的任务,

使用root用户删除时,提示没有权限

使用 lsattr  查看权限发现,有a权限,有的情况会同时存在i和a的权限,因此修改该文件权限

lsattr /var/spool/cron/root

-----a-------e-- /var/spool/cron/root

通常定时任务在/var/spool/cron目录下会创建一个与用户名同名的定时任务文件,先处理权限问题,后需要修改该文件内的内容,将异常脚本执行任务删除

chattr -R -ia /var/spool/cron/root

此时,异常定时任务删除完成。

处理完成后,重启定时任务服务

 systemctl restart crond

后续若还是出现异常脚本的定时任务,则在定时任务目录下,清空定时任务文件内容,不删除该文件,删除后将文件权限改为不可修改不可删除。

chattr +ia /var/spool/cron/root

攻击者隐藏相应定时任务文件,并构建到其他路径,在/etc/cron.hourly下可查看到部分,打开路径看到

查看对应文件,发现为攻击者保存的文件,删除这些文件,同时修改/etc/cron.hourly下的配置,注释掉对应内容

最后在执行目录下建立同名文件,清空内容后设置i属性

文件路径:/tmp/.whoamisystem

创建空文件:systemig和config.json

修改权限:

chattr +i systemig

chattr +i config.json

chattr +i systemig.tar.gz

lsattr config.json

输出:----i--------e-- config.json

之后删除正在执行的进程

监控一段时间后保持正常。

保底方案

实在没有办法的话可以建个定时任务定时删掉进程,不过这样会损失些性能。

coolkidlan
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
隐藏进程占用cpu高
sagens2019的博客
12-30 1453
使用uptime和top 可以看到cpu的使用率高,但是看不到占用的进程 查看文件发现很多文件被上了特殊权限。基本可以确定服务器被黑了 先使用lsattr查看权限,再用chattr解除权限 挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/中的多个文件 先清理动态链接库 cp /etc/ld.so.preload /etc/ld.so.preload.bak vi /etc/ld.so.preload #删除相关内容 使用top查看
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2656
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4726
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1273
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7787
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒运维人员都知道,那么下面开始排查及清理。 中了此病毒服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
【安全】查杀linux隐藏挖矿病毒rcu_tasked
飞的博客
10-25 2632
这是黑客使用的批量蔓延病毒的工具,通过如下脚本实现。
【安全】查杀linux挖矿病毒 kswapd0
最新发布
飞的博客
04-11 2059
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
查看系统隐藏进程busybox&unhide
centosa的博客
04-17 3753
** Busybox ** 防止非法用户替换原有命令,导致执行命令时同时执行恶意程序。 下载busybox #wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64 #chmod +x busybox-x86_64 #mv busybox-x86_64 /root/busybox 更改环境命令别名 #vim /root...
Linux当中如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 8341
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
[UBUNTU]挖矿病毒处理
俗科技的博客
02-03 3009
1.使用top和htop指令查看,占用cpu比较高的进程 /tmp/.weblogic/javae 1.杀掉病毒进程 kill -9 病毒进程的PID 2.删除病毒文件 rm -fr /tmp/.weblogic 3.删除tomcat下病毒远程下载程序 停止tomcat进程服务: kill -9 `pgrep java` tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host...
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 982
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
挖矿病毒清除记录
weixin_34174422的博客
04-10 6193
转载地址:https://www.52pojie.cn/thread-864849-1-1.html?tdsourcetag=s_pctim_aiomsg起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。登录服务器后,首先使用Top命令,查看CPU占用。发现CPU占用率达到100%,可是却没有相关占用高的进程。想...
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7341
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 5944
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9749
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
一次挖矿入侵处理记录(2021.01.27)
卡西莫多的博客
01-28 3287
https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 转自上面链接,也是我的亲身经历,供大家学习。网络安全大家引以为戒。爱闹的小兄弟们,别闹了啊,让张老师花了好几天的心思在你们弄得事情上。 [原创]一次挖矿入侵处理记录(2021.01.27) 本文原创:中国科学技术大学 张焕杰 修改时间:2021.01.27 一、突发的大量SSH扫描 2021.01.25 22:40,接到用户报告发现有来自校内7个IP的大量SS.
linux系统的workminer挖矿病毒如何处理
04-15
对于这个问题,我可以给出以下建议:首先,您可以安装杀毒软件对系统进行全面扫描和清理。其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和参考,具体操作还需根据您的个人实际情况而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coolkidlan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值