检查是否中了挖矿木马4 linux,一款新型的Linux挖矿木马来袭

最新推荐文章于 2023-11-03 09:20:20 发布
最新推荐文章于 2023-11-03 09:20:20 发布
阅读量674 收藏
点赞数
文章标签: 检查是否中了挖矿木马4 linux

原标题:一款新型的Linux挖矿木马来袭

一、事件背景

最近接到客户反馈,发现Linux机器卡顿,CPU使用量超标高达90%以上,怀疑被挖矿,深信服EDR安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的研究分析。

二、样本分析

1.对一系列矿池地址进行DNS查询请求,如下:

相应的矿池地址列表如下:

510f7a591252b50d97bffcb336e3fdfb.png

pool.minexmr.com,xmr-eu1.nanopool.org,xmr-eu2.nanopool.org

xmr-us-east1.nanopool.org,xmr-us-west1.nanopool.org,xmr-asia1.nanopool.org

xmr-jp1.nanopool.org,xmr-au1.nanopool.org,xmr.crypto-pool.fr

fr.minexmr.com、de.minexmr.com、ca.minexmr.com、sg.minexmr.com

pool.supportxmr.com、xmr-usa.dwarfpool.com、xmr-eu.dwarfpool.com

xmr.prohash.net、xmrpool.eu、mine.ppxxmr.com、jw-js1.ppxxmr.com

xmr.f2pool.com、xmr.pool.minergate.com、monerohash.com

pool.monero.hashvault.pro、gulf.moneroocean.stream

us-east.cryptonight-hub.miningpoolhub.com

europe.cryptonight-hub.miningpoolhub.com

asia.cryptonight-hub.miningpoolhub.com

2.通过chattr -i删除掉文件保护属性,重新感染主机系统,如下:

fc868c7e394deba52d894594ab86429e.png

3.通过进程/proc/[进程ID]/exe,获取文件的路径,如下:

9e5bdf6a36665926627a8fd2f7be51dc.png

4.在内存中拼接字符串,如下所示:

51cf7e5b0cb39e7d26074225f9c1e4dc.png

相应的命令行如下:

最低0.47元/天 解锁文章
shikaao14
关注
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
linux 木马 源码,一款新型Linux挖矿木马来袭
weixin_29577885的博客
05-12 1340
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
《应急响应》记一次“XMR门罗币挖矿木马病毒”处置
最新发布
1
11-03 2402
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
阿里云服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法
王天泽的博客
08-28 1万+
1.查看进程# ps -e -o 'pid,comm,args,pcpu,rsz,vsz,stime,user,uid'找出CPU占有率高的你不认识的进程,我的是这样的bashd -a cryptonight -o stratum+tcp://pool.minexmr.com:5555 -u 4AUF3pa干掉它kill -9 111102.全局搜索这个进程[root@wangtianze ~]#
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6933
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
python挖矿木马_kworkerds 挖矿木马简单分析及清理
weixin_39952800的博客
12-06 707
公司之前的开发和测试环境是在腾讯云上,部分服务器过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。现象top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务,每半小时左右会从 pastebi...
应急响应流程以及入侵排查
renyizou的博客
01-14 5824
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
supportxmr-gui:轻量级且快速的UI,用于基于nodejs-pool的项目,最初是为supportxmr.com设计的
05-26
supportxmr-gui是用于的轻量级,低资源池UI()。 它是基于javascript的,并且自包含在4个文件和favicon。 缩小后,总磁盘大小为76KB,没有外部依赖性。 页面加载性能规格(单个工作人员): supportxmr-gui 旧的前端 2.5 KB HTML 10 KB 3/72 KB 静态文件 48 / 6,031 KB 7 资料查询 14 102 KB 资源总计 6,031 KB .5秒 页面加载(不带CDN) 5秒 兼容性supportxmr-gui需要ECMAScript 5(Chrome 23,Firefox 21,IE 10,Safari 6,Opera 15)。 从理论上讲IE9可以工作,但是Microsoft浏览器已经占用了我很多时间。 高安全性模式下的Tor阻止了svg元素,并且此UI完全基于svg。 Tor的其他安全
阿里云服务器挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
【应急案例】一次入侵应急响应分析
Fly_鹏程万里
02-22 2440
前言 本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现,针对这种技术,之前已有相关分析,感兴趣的同学可以看一看。 此次分析,发现用户的服务器被多波不同利益的黑客入侵,里面有一些比较有意思的内容,所以特意分析总结了一下。 一、概述 1、分析结果 经过分析,目前得到以下结...
阿里云服务器被挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
记录一次挖矿事件
weixin_40368523的博客
05-20 1885
事件参考网上文章解决:https://blog.csdn.net/mdzz14/article/details/111656726 某一天在测试环境使用dcoker的时候发现不能使用,起初怀疑是否由同事卸载,后续在使用curl命令的时候发现不能使用,怀疑服务器出现了别的异常并在crontab下发现了异常脚本newinit.sh的脚本,证实服务器挖矿病毒。 原因:开发在测试环境搭建的redis,服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis,通过R.
linux内核守护线程,请教高手:ps命令如何区分内核守护线程和用户进程?
weixin_33501348的博客
04-29 162
内核守护线程的显示加了括号[],请问是如何做到的?|看父进程号也可以,下面是ps输出,你注意看内核线程的PPID?$ps-eo"%p%P%c"PIDPPIDCOMMAND10init21migration/031ksoftirqd/041migration/151ksoftirqd/161migration/...
挖矿病毒 解决思路 xmr
weixin_34361881的博客
11-26 2226
基本上通过服务器挖矿只能利用cpu的性能了,所以 top查看cpu利用率,但是程序会影藏,让你看不见,解决:删除/usr/local/lib/libntp.so ,后面ssh登录会出现错误提示,解决方法:编辑 .bashrc检查启动脚本 /etc/cron.d/root 有可能会新建文件夹并影藏,使用ls -a 查看。检查/tmp路径下文件,删除/tmp/kworkerds使用top查看pid,...
windows挖矿木马
09-08
对于 Windows 系统的挖矿木马,以下是一些常见的问题和解决方案: 1. 如何防止 Windows 系统感染挖矿木马? - 安装有效的杀毒软件,并始终保持其更新。 - 避免从不可信的来源下载和安装软件。 - 及时更新 Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值