linux木马脚本更新,Linux 挖矿病毒"sysupdate"处理

最新推荐文章于 2023-08-06 17:54:59 发布
最新推荐文章于 2023-08-06 17:54:59 发布
阅读量214 收藏
点赞数
文章标签: linux木马脚本更新

这几天用户反馈主机说非常卡,反映迟钝,我接手用top检查

ea94c145a97c908932ef49a9305f0e48.png

我擦嘞,sysupdate这个进程占用百分之百了,一看资源占用这么多,我肯定是挖矿病毒

ps -aux | grep sysupdate

b4168f6094012f684f1069c8dab0bf71.png

不多说,直接先直接干掉他,让服务器缓缓

~]# pkill sysupdate

~]# rm -vfr /etc/update.sh

rm: 无法删除"/etc/update.sh": 不允许的操作

发现尽然不能删除,我敢肯定是使用chattr命令用于改变文件属性,让我们不能删除,我们需要执行

]# hattr -i /etc/sysupdate

]# rm -vfr /etc/sysupdate

已删除"/etc/sysupdate"

ok,文件删除成功,不过这个只是第一步,因为发现这个文件又创建出来了,说明他有一个守护进程在执行

检查主机的定时任务日志,发现没有记录,说明被清楚了,最后发现在/etc下面有个update.sh脚本,跟用户确定之后,肯定这个脚本是守护进程

分析脚本,发现这个木马作者有点6,还留了一个后门免密要登录,不过遇上我了,这几个文件全部干掉,

2e92d9f7ace2e4351066106d440dacb0.png

yihuatest
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux update.sh,Linux系统sysupdate病毒之update.sh脚本分析 | CN-SEC 中文网
weixin_35298139的博客
05-13 659
序这是第二次遇到该病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。背景这次废话不多说,直接上,背景感觉毫无意义。分析现象确认首先确认现象,通过查看系统进程发现存在CPU占用过高的现象,如下图:查看进程信息:进程关联查看,发现该病毒启动时间是在2020.09.18 10:00:01。update.sh脚本分析通过对程序进行...
Linux病毒sysupdate
RivenDong
07-07 1289
文章目录1. Aliyun中毒2. 解决方案2.1 删除定时任务2.2 杀死进程清除文件2.3 检查清理3. 补查 1. Aliyun中毒 好久不用我的Aliyun服务器,发现CPU使用率飙到了179%,发现是因为中了Linux病毒sysupdate引起的。 2. 解决方案 使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe ls -l /proc/22750/exe 进入/tmp下查看 2.1 删除定时任务 crontab -r 2.2 杀死进程清除文件
linux中了病毒详细解决方案
wu_qing_song的博客
10-27 4834
linux病毒已解决
Linux病毒清理通用思路
dayouzi的博客
04-19 3424
在被植入病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux服务器被植入病毒后初步解决方案
qq_24274689的博客
07-22 3620
linux服务器被植入病毒后初步解决方案
libgcc-a木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
通过linux 木马控制Linux
06-13
通过linux 木马控制Linux
linux 杀毒软件 木马扫描 clamav
08-16
linux 杀毒软件 木马扫描 clamav
php实现Linux服务器木马排查及加固功能
10-24
主要介绍了php实现Linux服务器木马排查及加固功能,本文给出了根据特征码查找、搜索最近被修改的文件、修改php.ini、修改nginx.conf等方法,需要的朋友可以参考下
10991-10771linux木马和后门程序&linux异常处理.rar
10-15
测试网络恶意程序的攻防,和删除异常程序,网络不知攻燕之坊,资源没有解压密码,请放心绝对安全,建议内网测试使用。 如何处理linux恶意程序?五个步骤彻底清除木马 里面有具体操作步骤和工具
系统补丁查找和修复sysupdate
09-18
自动帮你找到系统漏洞并修复,系统补丁查找和修复sysupdate
记一次清除Linux病毒的经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 748
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
应急响应-linux病毒的实战处置
最新发布
告白的博客
08-06 1084
将该文件上传沙箱检测,确定为木马程序,且为内容存在条件竞争,且调用多种终端,行为非常正常文件,在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间,同时观察到在该木马文件访问的前几次,攻击者成功访问了st2框架的.sction页面,疑似通过st2漏洞进入并植入木马,后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知,该主机通过web服务被入侵,攻击者通过st2漏洞植入木马,获取web权限后植入木马文件,并设置定时任务。
linux rm 提示无法删除“xxxxxxx“:不允许的操作
q6270的博客
05-23 2752
linux rm 提示无法删除"xxxxxxx":不允许的操作
Linux病毒清理流程
热门推荐
ouxx2009的专栏
03-14 1万+
Linux病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
一起linux虚机感染病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1119
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
linux解决病毒
qianjiu520的博客
05-30 701
linux解决病毒
linux CPU资源彪高(sysupdate, networkservice进程)
fengzhilaoling的博客
11-15 353
起因 今天起来登录服务器,命令行卡的飞起来了 是用top命令查看 发现sysupdate # 系统更新 networkservice # 网络资源 xr 应该是一个病毒 登录阿里云查看cup状态 已经很长时间了,但是并没有报警 根据进程号找到文件的位置 [root@fengling ~]# ls -l /proc/24758/exe lrwxrwxrwx 1 root root 0 11月 15 12:11 /proc/24758/exe -> /etc/sysupdate [ro
Linux中招木马如何处置,附带解决方案
是故事啊~关注我~
01-25 6565
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了木马病毒,让我给他解决,分享一下解决方法。 一. 什么是木马 首先经过多年的演进,越来越多的木马利用多种方式入侵系统,意图感染更多的机器,提高的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
linux木马文件后缀
06-06
Linux系统中的常见恶意软件或木马文件可以使用多种后缀来进行隐藏,例如: 1. .so:动态链接库文件,常用于植入恶意代码。 2. .sh:Shell脚本文件,可用于执行恶意命令或下载其他恶意文件。 3. .py:Python脚本文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值