挖矿病毒处理记录

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量1.4w 收藏 17
点赞数 4
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfr629/article/details/99622855
版权

wnTKYg进程发现

  • 执行top

会发现此进程。

wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。

  • 检查authorized_keys、known_hosts文件
[root@zfr ~]# cd /root/.ssh

[root@zfr ~]# cat authorized_keys 

[root@zfr ~]# cat known_hosts

看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。

  • 查找挖矿进程

其次,我想找一下这个病毒存在的路径。执行了个命令:

find / -name wnTKYg*

或者在top下,按C 就可以显示这个路径了。

发现这个wnTKYg 的程序在/tmp 下。

处理挖矿病毒

直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。

继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004 两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。

  • 检查定时任务

排查了第一个定时任务的地址:

vi /etc/crontab

发现里面只有我自己设置的定时任务。

我就把全文搜索了下crontab

find / -name crontabs   find / -name crontab

于是我又发现了一个路径/var/spool/cron 非常可疑!

  • 查看文件

我先看了下root文件

/var/spool/cron/crontabs文件夹下的root文件

都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.

我用浏览器访问了下这个IP:

发现里面有病毒和几个脚本。

下载了这个i.sh这个脚本。

就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。

我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。

因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。

结果

我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。

观察了top一段时间,发现此病毒暂时没有复发。

 

 

Z.Virgil
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
挖矿病毒清除记录
ufsoko的博客
11-27 909
挖矿病毒清除记录出现现象查看定时任务开始解决目前还存在三个问题: 出现现象 cpu是4核的但使用htop无法查看到,之前跑的服务进程都被kill掉了,重新启动服务依然被kill掉。 查看定时任务 crontab -l 会出现如下这些curl请求一个域名里面的数据并且下载脚本只需,清除之后还是会存在。 开始解决 于是乎我先把/etc/hosts 加上了一个 127.0.0.1 aliyun.on...
Linux中挖矿病毒清理通用思路
dayouzi的博客
04-19 3694
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
挖矿进程wnTKYg解决方案
weixin_34403693的博客
11-12 140
  阿里云推送了一段短信:您的服务器出现了入侵事件:挖矿进程。赶紧top一下      CPU占用率99%,好气哦   pkill wnTKYg 先杀死再说   几秒后又出现了,肯定有自动执行脚本   crontab -l 果然有两个(此处没有截图),立马删掉 /var/spool/cron/ 下的所有文件,   还是出现了wnTKYg,重复几次以上的操作,发现。。。麻辣鸡,ddg.1...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1212
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4688
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
网络安全之认识挖矿木马
学而思(xiejava的blog)
02-21 8540
目前,我国政府宣布要实现碳达峰碳中和的目标,严重耗能的虚拟加密币相关生产、交易被认定为非法,我国境内所有(生产加密货币的)矿场必须关闭。因挖矿需要大量财力投入,从一开始,就有人想到利用木马控制他人的计算机组建僵尸网络集群挖矿的办法,这就是所谓“挖矿木马”。
挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法
weixin_61738543的博客
04-15 8921
前言 首先大家会打开到这篇文章,就已经说明你大概率已经被病毒所困扰了。自从byrut网站为大家提供了大部分不安全的盗版游戏资源,很多人都从这些资源中被病毒感染,并且难以靠普通的杀毒软件进行杀毒了。其中一个最让人最难受的资源,就是这个类似病毒工厂会自动生成木马一样的病毒。如果你想靠自己处理掉这些木马文件,或许我的文章所分享的经验可以帮助到你! 我并非专业查杀病毒的人员,只是一个普通的本科开发实习生,以下内容是为了简单的分享一下这类病毒的手动清理方式,还有分享发现这一病毒后的思考,以及溯源的方式与思路。
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9723
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
crontab异常任务删除不了,清除挖矿病毒
最新发布
06-20
crontab异常任务删除不了,清除挖矿病毒
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
Scratch挖矿游戏作品:挖矿
03-14
可售出矿石,获得钱币,以购买“稿子”“护盾”等。干货满满,欢迎转载,记得注明原作者。此后仍有各热门或有趣游戏,请关注原作者,且点赞加收藏,记得推荐好友。下载即可玩,快点来下载吧!
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
挖矿技术防范解决方案 勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经...
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1754
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
针对挖矿病毒的简易三板斧
wangluoanquan111的博客
08-11 739
本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
Karka_的博客
09-08 492
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
centos挖矿病毒
04-26
一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值