SystemMiner挖矿病毒处理记录

最新推荐文章于 2023-07-26 23:12:55 发布
最新推荐文章于 2023-07-26 23:12:55 发布
阅读量427 收藏
点赞数
文章标签: linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42305985/article/details/129071665
版权

  1. 病毒相关信息(示例)

  1. 病毒家族

SystemdMiner

  1. 病毒痕迹

内网大量爆破22端。

访问矿池。

CPU占用100%。

  1. 1.3.矿池信息

99.90.243.136

  1. 1.4.挖矿进程

挖矿主进程为随机的8位数字与字母的组合,示例如下所示:

该进程由病毒文件拉起,该病毒文件拉起进程后自删除。

  1. 定时任务

共有两个定制任务

1、/var/spool/cron中root

2、/etc/cron.d中0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt

  1. 挖矿脚本

共有四个挖矿脚本

分别为/root目录下

.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh

和/opt目录下

systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh

systemd-service.sh

unixdb.sh

  1. 开启启动项

未发现恶意启动项

  1. 病毒处理步骤(示例)

  1. 杀掉挖矿进程

#kill-9 19811

  1. 删除定时任务

删除/var/spool/cron/root文件中的相关定制任务

删除/etc/cron.d/0systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt定时任务

  1. 删除脚本文件(不一定完全一样)

#rm–rf /root/.systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh

#rm–rf /opt/systemd-private-UiJ3rUByZFMJJ6FgafWp6gl5dxWSklPt.sh

#rm–rf /opt/systemd-service.sh

其中unixdb.sh有被修改为只读文件,不能删除需要去除只读属性后删除

使用lsattr命令查看文件属性,使用chattr命令去除只读属性

  1. 删除不可信的免密密钥

查看/root/.ssh/authorized_keys,如存在未知免密密钥需要手动删除。

  1. 删除X11记录

删除/tmp/.X11-unix/目录中的所有文件。

  1. 病毒进程检查

使用ps -ef 查看所有进程,查看是否存在其他8位进程,如果有需要杀掉。

  1. 修改密码强度

!!!!需要修改登陆密码为10为以上,包含大小写字母,数字,符号。

病毒分析

https://www.qianxin.com/news/detail?news_id=327

https://www.secpulse.com/archives/127740.html

公司内部该病毒已出现变种,hadoop需要更新之最新以减少安全风险

sun刚刚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2445
记一次阿里云服务器被被种挖矿程序解决的过程。
一个名为systemd-init的CPU挖矿病毒及后续
weweeeeeeee的博客
11-11 2503
一个名为systemd-init的CPU挖矿病毒及后续 作者root在安全 今天接到了报警,一台内部的服务器CPU负载嗷嗷的高,感到非常的疑惑,就点进去看看负载情况 CPU爆满 监控诚不欺我,果然是CPU跑爆了,然后看看Command,发现都是M开头的,这肯定就是病毒了,就开始处理 发现运行最长的进程PID是32336,就拿它下刀开始查 发现,毛都查不到,就开始按照...
linux挖矿木马systemdMiner分析 bash下载执行模块
whatday的专栏
01-24 3119
近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。 感染现象 被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符: ...
SystemedMiner再次更新,使用Socket5中转访问C&C
systemino的博客
04-10 510
0x0 概述 最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-命名而得名,但慢慢的,它们开始弃用systemd的命名形式,改为了随机名。 深信服安全团队通过C&C域名、脚本、定时任务等特征确认该病毒SystemdMiner最新变种,本次变种的不同点在于更新了C&C域名及连接C&C域名的方...
记一次挖矿病毒应急处置全过程&挖矿处置基本操作
心想事成
12-20 1176
每次挖矿的情况都不太一样,只能做一个参考。具体还需自行检查
centos7 tmp目录出现systemd-private 类似文件夹
ycxwoo的博客
09-04 9224
//解决向tmp 目录创建文件 ,系统转存到其他目录 症状 /tmp/systemd-private-9301532e5ff749e388f365a25f51e9ea-mariadb.service-zvKlrX/tmp/ /tmp/systemd-private-9301532e5ff749e388f365a25f51e9ea-httpd.service-HRR15v/ 原因...
2019-8-28 [Linux] Centos7 的/usr/tmp自动清理系统 删除后出现systemd-private 类似文件夹怎么办
景子墨的博客
08-28 2716
一. 系统自动清理 在Centos 7下,系统使用systemd管理易变与临时文件,/tmp目录的清理规则主要取决于/usr/lib/tmpfiles.d/tmp.conf文件的设定,默认的配置内容为: # Clear tmp directories separately, to make them easier to override v /tmp 1777 root root 10d ...
/tmp目录下出现system-private文件夹解决方法
Sk1y的博客
03-14 2758
/tmp目录下出现system-private文件夹解决方法 问题的由来 我在vsp上测试文件上传的时候,发现文件不会正常的出现在/tmp目录下,而是会生成一个system-private-xxxx文件夹,然后文件会上传到其中。 原因: 这是因为开启了PrivateTmp服务,方便清理/tmp中的文件(因为/tmp文件夹中所有用户都有写和读的权限,文件多了之后就得一个一个清除,这个服务就是用来方便自动清除文件的) 查看开启了PrivateTmp的服务 grep -R PrivateTmp /etc/syst
Linux启动一个服务后,服务的某个文件所在的目录下出现类似:systemd-private.xxxxxx的目录...
weixin_34101229的博客
12-18 1877
Linux的目录下面形如: [root@:vg_adn_tidbCkhsTest:172.31.17.203 /var/lib/mysql]#ll /tmp total 8 drwxr-xr-x. 7 root root 62 Dec 10 10:16 mysysroot drwx------. 3 root root 17 Dec 18 13:53 systemd-priva...
Linux操作系统引导过程+服务级别+Systemd服务管理+超详细的启动类故障排除
最新发布
这是博客的简介的简介
07-26 348
1.怎么引导操作系统启动? 2.有哪些服务级别? 3.systemd和systemctl 4.怎么排除故障?
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3532
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
记录一下本次遇到挖矿病毒的相关处理(是否搞定还看情况...)
qq_21817483的博客
02-14 313
被迫走上运维之路的java开发… 用的是阿里云的esc,这两天服务器频繁爆cpu,上去看了一下是成了别人的矿机, 开头疑是redis对公网开放导致导致黑客利用redis’的未授权访问漏洞,直接获取ECS的Root权限,被黑客利用向磁盘上写入了可疑文件. 由于服务器是交接过来的,环境搭建并不是由我们这边着手的,很多东西也不清楚. 打开redis的配置文件看到bing 127.0.0.1 是被注释掉的...
我的服务器被挖矿了,原因居然是...
qq_44005305的博客
06-24 975
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
【安全狗安全研究】SkidMap挖矿木马研究
bocco的博客
12-07 850
近日,安全狗威胁情报中心监测到多起“Skidmap”挖矿木马事件。经研判,这些病毒感染事件是攻击者经Redis未授权访问漏洞攻击的方式植入挖矿木马“SkidMap”导致的。虽然“SkidMap”并非新型的病毒家族,但鉴于该病毒家族一直保持着较高的流行热度,且隐蔽性较高,海青实验室的研究人员对该挖矿木马进行研究与分析,并给出相应的应对方法与建议,以期减少用户受此类事件的影响。
遭遇syst3md挖矿病毒(1)
u013469501的博客
04-09 2034
一套刚刚装好19C RAC,发现grid用户起了一个奇怪的进程,且CPU占用很高,将近800%,如下图: 查看这个程序发现写了好几行命令: 查询了一些资料,发现和其他文章描述极其相似,具体不太懂,也不想研究这东西了。那就开始清除吧,考虑到主要干2件事,一是杀进程,二是修改密码,这下黑客的“肉鸡账本”又少了2台白嫖,哈哈哈~ 在syst3md的主进程(exe)中有个软连接指向了/tmp目录下的syst3md,其中黑客在tmp目录下创建了...作为隐藏目录,包装了一层目录,真是...
中了挖矿病毒
weixin_38946164的博客
06-17 1930
最近一台服务器运行超级慢,任务管理器查看CPU占用100% ,使用autoruns.exe工具查看到异常任务和进程。 打开文件路径还发现以下文件,config.json , c3a.bat , wina.exe config.json 代码如下: { "api": { "id": null, "worker-id": null }, "http": { "enabled": true, "host": "127
服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 8314
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
记一次遇到挖矿程序的经历
热门推荐
xzxmustwin的博客
05-30 1万+
就在几天前,遇到了一次挖矿程序偷偷装在ECS阿里云服务器上的经历。 那是一个风和日丽的上午,我和往常一样来到公司,倒杯水等待电脑打开,之后打开日常维护的几个系统。 结果其中有一个OA系统,发现无法正常打开。一开始我以为是网络问题,但是发现打开其他网站正常,于是登上服务器准备探个究竟。 登陆云服务器后,重启OA服务,发现报错,报错提示连接线程池连接不上。根据提示,怀疑是连不上部署在本地的数据服...
阿里云中挖矿病毒
qq_35312979的博客
07-29 286
阿里云中挖矿病毒 top查询显示 杀死进程 kill -9 进程id 查看定时任务 crontab -l 显示 找到systemd-private-40bYxD6q2wJlcfWdXBdw8YJQEuDsM6O.sh删除掉 观察了一个小时又出现,找到/var/spool/cron的root文件,打开发现是病毒定时执行文件,删除root然后重新创建一个 设置chmod 000 root 之后cpu正常了 但是病毒文件依然存在,只是不会有进程了 ...
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5700
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值