一次挖矿病毒gsd的清理

最新推荐文章于 2024-07-09 11:15:52 发布
最新推荐文章于 2024-07-09 11:15:52 发布
阅读量366 收藏 3
点赞数 4
文章标签: 服务器 linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42152219/article/details/139601982
版权

发现服务器很卡,连上去看发现中了挖矿病毒。
表现如下:top 中发现cpu被进程gsd跑满了,netstat发现两个不认识的进程gsd 和 kthread正在连接不认识的地方。
在这里插入图片描述
在这里插入图片描述
先看了下crontab,发现有定时任务:每个用户的crontab下都有可能有,需要找下
在这里插入图片描述
然后看这两个脚本的文件时间,发现文件时间是15:23。
再查找15:10分到15:40分的文件
find / -newermt ‘2024-06-07 15:10:00’ ! -newermt ‘2024-06-07 15:40:00’,发现很多可疑文件。
遂逐一清除。以下脚本为病毒可能存在的路径,可能不全再手动找下:

#!/bin/bash

## 清除病毒不可变属性
chattr -ia /etc/cron.daily/pwnrig
chattr -ia /etc/rc.d/init.d/pwnrig
chattr -ia /etc/systemd/system/pwnrige.service
chattr -ia /etc/cron.hourly/pwnrig
chattr -ia /etc/cron.d/pwnrig
chattr -ia /etc/cron.monthly/pwnrig
chattr -ia /etc/cron.weekly/pwnrig 
chattr -ia /root/.bash_profile
chattr -ia /usr/bin/crondr
chattr -ia /usr/bin/initdr
chattr -ia /usr/bin/sysdr
chattr -ia /usr/bin/bprofr
chattr -ia /usr/bin/gsd
chattr -ia /usr/lib/systemd/system/pwnrigl.service

## 停止服务
systemctl stop pwnrige.service
systemctl stop pwnrigl.service

## 移除服务
systemctl disable pwnrige.service
systemctl disable pwnrigl.service

## 删除病毒文件
rm -f /etc/cron.daily/pwnrig
rm -f /etc/rc.d/init.d/pwnrig
rm -f /etc/rc.d/rc0.d/K60pwnrig
rm -f /etc/rc.d/rc1.d/K60pwnrig
rm -f /etc/rc.d/rc2.d/S90pwnrig
rm -f /etc/rc.d/rc3.d/S90pwnrig
rm -f /etc/rc.d/rc4.d/S90pwnrig
rm -f /etc/rc.d/rc5.d/S90pwnrig
rm -f /etc/rc.d/rc6.d/K60pwnrig
rm -f /etc/systemd/system/pwnrige.service
rm -f /etc/cron.hourly/pwnrig
rm -f /etc/cron.hourly/pwnrig
rm -f /etc/cron.d/pwnrig
rm -f /etc/cron.monthly/pwnrig
rm -f /etc/cron.weekly/pwnrig
rm -f /usr/bin/crondr
rm -f /usr/bin/initdr
rm -f /usr/bin/sysdr
rm -f /usr/bin/bprofr
rm -f /usr/bin/gsd
rm -f /etc/systemd/system/multi-user.target.wants/pwnrige.service
rm -f /etc/systemd/system/multi-user.target.wants/pwnrigl.service
rm -f /usr/lib/systemd/system/pwnrigl.service
rm -f /root/.bash_profile

## 删除ssh后门key
rm -f /root/.ssh/authorized_keys
rm -f /home/youruser/.ssh/authorized_keys

## 删除病毒文件夹
rm -rf /usr/local/src/.kthread/
rm -rf /usr/local/src/.gsd/
rm -rf /root/.ssh/.gsd/
rm -rf /tmp/.X12-unix/

注意:需要确认/root/.bash_profile 和 /root/.ssh/authorized_keys 这些文件是否是正常文件,我们服务器是没有用到的,所以直接删除文件了。有用到这些文件的话需要挑出来删除有问题的行。
实际上起作用的文件是

/usr/bin/crondr
/usr/bin/initdr
/usr/bin/sysdr
/usr/bin/bprofr
/usr/bin/gsd
/usr/local/src/.kthread/
/usr/local/src/.gsd/
/root/.ssh/.gsd/
/tmp/.X12-unix/

其他的都是自启动用的。原则上只删除这些文件,病毒就跑不起来了。当然ssh的key是要清理的。
曝露在公网上的服务器,不妨了解下fail2ban这个软件。
参考文章:链接: link

weixin_42152219
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博图GSD文件 汇川伺服GSD文件
03-15
而"GSD文件"(Generic Serial Device)则是PLC(可编程逻辑控制器)与现场设备之间通信的一种配置文件,主要用于描述设备的特性、功能和通信参数。在本主题中,我们将深入探讨这两个概念以及它们如何与“汇川伺服”...
[问题已处理]-阿里云与本地机房中挖矿病毒处理,又又又中毒了
爷来辣的博客
09-21 1071
导语:被挖矿的现象是cpu异常的高。正常服务被系统杀掉。 先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的 基本判断是confluence最新的漏洞导致的 http://www.hackdig.com/09/hack-465498.htm 刚好看到防火墙有之前做的映射暴露出去 后期防火墙可以设置白名单 会用java去下脚本 官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。 如需要查看完整感染脚本 c
一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1833
一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
dbused 挖矿病毒清理
记昨日书的博客
09-26 750
问题描述 系统:centos 7 现象:服务器CPU一直100%,top 命令发现 dbused 占用,kill 掉后自启CPU依然100% 1. 临时降低CPU使用率 while true; do ps -aux | egrep "dbused|sendmail|wget|python" | awk '{print $2}' | xargs kill; done 2. 关闭定时任务自启 systemctl disable crond 3. 清理环境变量(.bash_profile) chattr -i
一次清理挖矿病毒
lixiao0320的专栏
05-13 960
一、前言 这是我第二次遇到这种病毒,第一次是两年前,当时因为公司的一台服务器映射到外网访问,而且还是弱口令,导致整个公司的服务器,全染上了????。。。当时经验缺乏,第一次遇到这种病毒,手足无措,在没有办法的情况下,重新装了一台服务器,后来发现还有好多台,重装效率太低,然后自掏腰包????????(当时主要怕老板骂)找了个运维帮搞定了,然后涨了点知识。。。 这次是之前的同事在他现在公司遇到的问题,搞了好多天无果,找我帮忙看看,由于最近也比较忙,耽误了几天(2021-5-11)才帮他解决(
linux 之pwn环境建立
Maxmalloc的博客
11-03 1863
当电脑建立相关环境遇到一些麻烦后,如何重新快速搭建pwn相关的linux环境是个重要的的问题,写篇博客给自己记一下 1.设置root密码 sudo passwd root 2.安装pip sudo apt-get install python-pip 3.安装pwntools pip install pwntools 4.转储ida server(方便ida远程调试) 5.安装LibcSear...
一次服务器被入侵的处理过程分享
「 虚幻私塾」
08-31 515
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。,我在生活和现实面前低头了。...
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3593
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
【解决Ubuntun系统某病毒】绞杀CPU高占用率病毒
weixin_41469023的博客
01-25 1133
起因:最近一台ubuntun20.04服务器上运行python程序没多久就莫名其妙被杀死了,百思不得其解,得知貌似是中了挖矿病毒——top指令显示有一个诡异的CPU高占用率的进程,被杀死后过不久还会恢复,而且进程号改变。如图杀他!大家都劝我直接重装系统省心,我不想这样,想看看怎么直接解决问题。没有重装电脑解决问题,我很开心。不是计算机科班出身,具体原理不是很懂,似懂非懂的把病毒给杀了。写这篇博客是想记录找问题,解决问题的思路算是给自己或他人一点提示吧~
丹佛斯FCD 302 GSD文件
05-14
总的来说,丹佛斯FCD 302 GSD文件是连接FCD 302变频器与控制系统的关键,它提供了一种标准化的方法来配置和集成设备,极大地简化了工程设计和维护工作。对于理解和使用丹佛斯FCD 302变频器的工程师来说,熟悉并正确...
小原焊机3系列新GSD
05-25
总的来说,小原焊机3系列新GSD是焊接技术的一次重大进步,它结合了智能控制、高效性能和人性化设计,旨在提供卓越的焊接体验。对于任何涉及金属连接的行业来说,这样的设备都是值得考虑的高效工具。
发那科fanuc机器人通讯GSD文件包
03-27
GSD文件是FANUC机器人与周边设备进行通信的重要文件格式,它包含了设备的通讯参数和协议信息,使得不同设备之间能够进行有效的数据交换。 在工业自动化领域,FANUC机器人常常需要与其他设备,如PLC、传感器、驱动器...
发那科各个版本GSD文件
07-20
与西门子PLC通讯的GSD文件
crontab -e每周被replace
huangzyi的博客
05-17 519
crontab -e每周被更替? 每周已写好的crontab会被* * * * * /var/tmp/cpu/bin/update >/dev/null 2>&1 语句替换,其他人并没有修改过,要怎么解决呢?
linux隐藏病毒处理(top查询us占用70%左右,却没有CPU高使用的进程)
叼不起的烟斗的博客
07-01 6995
突然有人反应说客户服务器使用有点卡,虽然是客户的服务器,里应当客户**自己处理的,可是项目还没完成,只有猥琐发育,自己搞定呗,客户是大哥啊。于是乎,立马使用常规操作,登陆服务器查看资源使用情况,发现服务器的CPU的us值在70%左右,然而并没有找到相关的CPU使用很高的进程,慌得一批,口吐芬芳。。。 问题分析: 1、首先排除应用程序问题,因为服务器的使用人数并不多,不可能有这么高的负载,而且如果是应用程序问题,肯定会显示出CPU高使用的应用进程 2、后排除CPU硬件故障,...
一次gsd挖矿病毒处置
最新发布
weixin_47142436的博客
07-09 873
按照上述流程处置完成后,再次kill相关进程,并对客户主机进行重启,客户系统恢复,CPU使用率降至10%以下,观察超过30分钟未有新的挖矿进程出现,基本确认处理完成。结合客户所说,重启服务器后正常应用不能启动,挖矿进程会快速占满CPU,怀疑家目录下的bash_profile里面有关于挖矿进程的相关参数。ls -l /proc/PID/exe 查看此PID对应的程序,发现如下图所示,此程序不存在。发现bprofr文件的存在,将bprofr放到云沙箱进行检查,确定为挖矿程序。
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw
m0_61418075的博客
04-09 942
​2)找不到-bash的原因上面的脚本将/bin/initdr拷贝到/bin/-bash,执行他后删除,并且所有的操作都将操作记录写给了null,隐藏了他在系统内的踪迹,更加确定了我的想法,绝壁是被当矿机了。我们用vim打开这个sysdrr文件,发现里面全是乱码,说明这还不是一个简单的文本脚本文件。grep -r 命令的使用也比较简单,只需在命令行中输入grep -r 后面加上要搜索的字符就可以完成搜索,例如:grep -r ‘hello’ 就可以搜索文件中包含hello字符的文件。
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8201
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值