病毒相关信息(示例)
病毒家族
SystemdMiner
病毒痕迹
内网大量爆破22端。
访问矿池。
CPU占用100%。
1.3.矿池信息
99.90.243.136
1.4.挖矿进程
挖矿主进程为随机的8位数字与字母的组合,示例如下所示:
![](https://img-blog.csdnimg.cn/img_convert/ddb8ab57761bea00a2a3d246f12ce0e5.png)
该进程由病毒文件拉起,该病毒文件拉起进程后自删除。
![](https://img-blog.csdnimg.cn/img_convert/6ad2eeb207de6c9cfc3593f325a979f3.png)
定时任务
共有两个定制任务
1、/var/spool/cron中root
![](https://img-blog.csdnimg.cn/img_convert/9b3444cd7751c9484aea4ab4f4e9dbbf.png)
2、/etc/cron.d中0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt
![](https://img-blog.csdnimg.cn/img_convert/ff78c7ebedf02cd590eb2f7d89a147d3.png)
挖矿脚本
共有四个挖矿脚本
分别为/root目录下
.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh
和/opt目录下
systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh
systemd-service.sh
unixdb.sh
![](https://img-blog.csdnimg.cn/img_convert/50b4f3e1ec06c892594862370cc31068.png)
开启启动项
未发现恶意启动项
病毒处理步骤(示例)
杀掉挖矿进程
#kill-9 19811
删除定时任务
删除/var/spool/cron/root文件中的相关定制任务
删除/etc/cron.d/0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt定时任务
删除脚本文件(不一定完全一样)
#rm–rf /root/.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh
#rm–rf /opt/systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh
#rm–rf /opt/systemd-service.sh
其中unixdb.sh有被修改为只读文件,不能删除需要去除只读属性后删除
使用lsattr命令查看文件属性,使用chattr命令去除只读属性
![](https://img-blog.csdnimg.cn/img_convert/2d117347e518a627f63caaebfc8cdb8e.png)
删除不可信的免密密钥
查看/root/.ssh/authorized_keys,如存在未知免密密钥需要手动删除。
删除X11记录
删除/tmp/.X11-unix/目录中的所有文件。
病毒进程检查
使用ps -ef 查看所有进程,查看是否存在其他8位进程,如果有需要杀掉。
修改密码强度
!!!!需要修改登陆密码为10为以上,包含大小写字母,数字,符号。
病毒分析
https://www.qianxin.com/news/detail?news_id=327
https://www.secpulse.com/archives/127740.html
公司内部该病毒已出现变种,hadoop需要更新之最新以减少安全风险