记一次挖矿病毒清理事件

最新推荐文章于 2024-05-09 15:00:20 发布
最新推荐文章于 2024-05-09 15:00:20 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: centos 文章标签: linux centos 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghui200920061988/article/details/104841654
版权

近期挖矿病毒猖獗,本文主要记录一次挖矿病毒的清理记录,用以记录或者帮助他人。
中毒特征
输入 top 然后回车查看进程,存在进程消耗了大量CPU,使用kill命令结束进程后,过一段时间后,又会出现。
在这里插入图片描述
可能的入侵方式
目前发现常用的入侵方式包括:

  1. 利用redis漏洞。redis未设置密码或者密码太过于简单。
  2. 系统登录用户口令较为简单。

处理方式
目前处理挖矿病毒的常用的方法包括:

  1. 检查定时任务,是否存在异常的脚本,如存在,则删除异常的脚本
  2. 检查开机启动服务是否有异常的脚本。
  3. 检查系统登录用户的密码是否存在弱口令。
  4. 删除ssh免密登录内容。
  5. 对redis设置密码或者修改强口令。
  6. 开启本机防火墙,对端口及ip进行按需开放。
  7. 对于非必需联网机器,进行断网。

本次处理全过程:本处理采用centos6.5系统进行说明。某天下午管理员通知我某台机器一直在往外发包,让我看下并处理,我登录服务器后,查看top命令,发现某个进程占用cpu300%,进程如图:
在这里插入图片描述

  1. 首先对进程进行跟踪,使用lsof -p 命令,如图:
    在这里插入图片描述
    经查ip属于国外ip,初步猜测可能为挖矿病毒。kill掉进程后,过一段时间后进程又出现,但进程名每次都不一样。

  2. 检查定时任务,crontab -l
    在这里插入图片描述
    查看该脚本,内容如图
    在这里插入图片描述
    脚本内容经过base64加密,经过base64解密后,可查看脚本的实际内容为通过curl去几个网站去下载一些脚本。

  3. 删除定时任务,crontab -e,将定时任务中的脚本删除。

  4. 查看/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root下是否存在上述脚本,如存在,也一并删除。

  5. 查看/etc/cron.d目录下是否存在0bffbe,如存在,则删除。

  6. 删除/tmp/下的定时任务临时文件

cd /tmp
rm -rf .crontab.zKiWDd.swp

  1. 删除/root/.bffbe脚本,若删除过程中,提示Operation not permitted,则可使用lsattr -a命令查看文件是否存在i属性,可先使用chattr -i命令去除i属性后再删除。

lsattr -a .bffbe

chattr -i .bffbe
rm -rf .bffbe

  1. 全盘搜索bffbe文件,并删除。

find / -name bffbe

  1. 检查开机启动服务中是否有该脚本,如有则删除。
  2. 删除ssh免密登录。

cd /root/.ssh/
rm -rf authorized_keys

11.修改redis服务方式,添加密码。
12. 如经过上述操作,进程扔在一段时间还会复现的话,则先停止定时任务,将base64后的脚本中的访问的网站通过防火墙禁止访问,或通过hosts文件将网站的域名先配置为本机ip。

篮球风云
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
挖矿病毒清除
weixin_34174422的博客
04-10 6187
转载地址:https://www.52pojie.cn/thread-864849-1-1.html?tdsourcetag=s_pctim_aiomsg起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。登录服务器后,首先使用Top命令,查看CPU占用。发现CPU占用率达到100%,可是却没有相关占用高的进程。想...
挖矿病毒排查并清除
zm96309的博客
02-28 4619
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
解密-挖矿病毒事件-详细攻防详细教程
程序员三九的博客
05-09 465
ps:因为项目保密的原因部分的截图是自己在本地的环境复现。1. 起因客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致
一次完美彻底的挖矿病毒清理录,快学起来
qq_42483521的博客
02-09 6697
文章录服务器中挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
一次redis密码过于简单导致中毒事件
qq_33471278的博客
08-18 295
公司服务器用的是华为云的服务器,安装完redis后的默认端口为6379,要想远程访问,还需要修改redis.conf中的 bind 127.0.0.1的全部注释,保护模式设置为no,是否为守护线程设置为yes,看了很多教程设置远程访问将这个设置为No,真的是误导读者,redis设置为守护线程是为了redis能在后台运行,ctrl+c不会中断后台的进程... 安装的时候密码设置为123456,第二天华为云日志显示有木马在运行,使用top命令检查果然是有挖矿的后台进程在运行,lsof -i:6379 后弹.
清理服务器挖矿木马病毒
FOREVERHOPE_WBZ的专栏
08-28 275
Linux系统中,root用户是具有最高权限的超级管理员账号。如果忘了root用户的密码或需要更改密码,可以通过以下方法来修改或重置root密码。1.重置root密码重置root密码需要使用root用户或者有sudo权限的用户执行以下步骤:1.1 在系统启动过程中,按下任意键以进入grub菜单。1.2 选中要使用的内核版本,按下e 键进入编辑模式。1.3 找到以"linux16"或"linuxefi"开头的行,将其末尾的 "ro" 更改为 "rw init=/sysroot/bin/sh"
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
crontab异常任务删除不了,清除挖矿病毒
最新发布
06-20
crontab异常任务删除不了,清除挖矿病毒
HW勒索病毒挖矿事件总结模板.docx
08-23
护网HW工作总结报告
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经验证的外部设备或存储介质...
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4647
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
一次简单的挖矿病毒清除---实战
weixin_45300266的博客
01-09 2136
1、top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2、查看木马保存路径 通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号 3、进入到木马文件所在路径 通过进程号定位到病毒文件后,进入到对应的目录 cd /usr/lib/updated ls 或者 ls -alh 4、使用删除命令 rm -rf + 病...
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
挖矿程序中毒分析(有这篇够不)
weixin_33743703的博客
10-09 876
常在河边走,哪能不湿鞋? 这不,昨天在朋友技术群里又见到了挖矿被中毒的场景...... 猛然间想起自己帮媳妇儿公司处理过hadoop管理平台yarn弱口令漏洞被利用, 从而成为挖矿者俘虏的往事。 以前案例现象: 访问yarn:8088页面发现一直有任务在跑如图: 用户为dr.who,问下内部使用人员,都没有任务在跑; 结论: 服务器被中毒了,者利用Hadoop Yarn资源管理系统REST A...
挖矿病毒应急响应分析
qq_43147309的博客
03-17 1495
Top发现CPU资源异常,wafmanager占用大量网络带宽: 作为管理员来说,首先kill它: 用户root运行。 查询特权用户和远程登陆的账号信息,其中r00t很可疑: 查看除root外的用户权限: 查看账号执行过的命令: R00t: 其中查看了selinux, selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。查看...
docker confluence挖矿病毒处理及版本升级
qq_41411704的博客
09-14 1856
【前提】 公司自建的confluence 被植入挖矿病毒了。导致cpu异常,疯狂的对外发包。 一【排查】 docker 版本 6.7.2 cptactionhank/atlassian-confluence:6.7.2 1.挖矿病毒:kdevtmpfsi kinsing solrd 就是换着名称来挖矿。 1.定位病毒 #查找出异常的pid,直接kill top #查找出关联下此进程的pid,可以找到父进程等信息 systemctl status pid 2.处理病毒 禁用定时任务,删除异常目录,删除源头 c
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS录被修改,可以通过还原DNS录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS录是否被修改、停止计划任务等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值