Xmrig挖矿木马之暴力分析!

最新推荐文章于 2025-09-10 21:54:50 发布
原创 最新推荐文章于 2025-09-10 21:54:50 发布 · 3.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#编程语言 #数据库 #网络安全 #渗透测试 #linux

博主详细解析了腾讯云服务器被发现的木马tsm64,追踪恶意进程、静态和动态分析,揭示了黑客攻击手段、C2地址及清除步骤。关键信息包括矿工门罗钱包地址和多个矿池URL。

前提:某天腾讯云发来一封邮件来提醒,自己的服务器中木马了。根据邮件中的提示,把疑似木马的程序tsm64拷贝下来,上传到vt上,确认是木马。好了,开始分析它。

一、初步定位恶意程序在系统中的痕迹

首先,通过命令“find / -name “tsm64” “全局搜索这个恶意样本存储在哪个目录,最后在/tmp/.X25-unix/.rsync/c目录下发现了它。浏览整个.rsync目录,发现都是恶意样本相关的文件,于是将其打包下载到本地进行分析。对该目录的子目录和文件进行分析,得到以下信息:

1. tddwrt7s.sh为起点,该脚本通过curl从远端下载dota3.tar.gz并解压,再调用initall进行初始化。

 

2. Initall脚本先执行init脚本,再执行init2脚本。init脚本将dota3.tar.gz解压出的.configrc目录复制到root目录下,并在后台执行a目录下的init0脚本(github上分享的一个专杀矿工进程的脚本)清除主机可能已经存在的矿工进程,后台运行a与b目录下的a脚本和c目录下的start脚本,再设置每分钟检查执行cron.d脚本(自己生成的),该脚本将a目录下upd脚本和b目录下的sync脚本设置为每次系统重启后执行。

 

3. Init2脚本前面的工作与init相同,略过 。

4. a目录下的upd脚本会执行run脚本,而run脚本会先执行stop脚本停止上一轮该系列脚本的工作(相当于为新一轮脚本执行做准备),重点是其会执行恶意的可执行文件kswapd0。在Linux中,kswapd0进程是用来管理虚拟内存的。kswapd0 移动内存的过程就会造成 CPU 的大量使用,所以该恶意程序通过伪装成kswapd0进程来规避管理员怀疑其大量耗用CPU资源的行为。

5. b目录下的run脚本会将一个固定ssh rsa密钥存储在 ~/.ssh/authorized_keys中实现持久化控制访问我的服务器。

 

6. C目录下的aptitude脚本执行go脚本,而go脚本会执行tsm脚本。Tsm脚本会根据服务器系统的位数而选择执行恶意可执行文件tsm32还是tsm64 。

.rsync目录下各脚本调用关系如下图所示:

 

最低0.47元/天 解锁文章
服务器是不是被黑了?一文看懂如何判断是否遭受攻击!
网络技术联盟站
07-30 309
在实际工作中,服务器异常一直是网络工程师和运维人员心中的“未爆弹”。有时是 CPU 飙高,有时是磁盘IO打满,网络慢得像蜗牛,应用无缘无故挂掉……这些现象背后,是否隐藏着“黑客入侵”的蛛丝马迹?很多朋友问:“怎么知道服务器是不是被攻击了?”本文将用实际经验与技术手段,为你系统梳理。
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 5192
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8825
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
xmrig算力基准测试:不同硬件性能评分
最新发布
gitblog_00838的博客
09-10 473
你是否曾为选择合适的硬件进行区块链计算而困惑?同样的算法在不同CPU上的表现可能相差数倍,错误的硬件配置甚至会导致算力损失50%以上。本文将通过xmrig的基准测试功能,全面解析主流CPU在RandomX、KawPow等算法下的性能表现,提供详细的硬件选型指南和优化方案,帮助你最大化计算效率。 读完本文你将获得: - 3类主流CPU架构的算力对比表 - 5步完成性能优化的实操指南 - 不同算法下...
Linux服务器防护+对抗挖矿病毒全流程探索
weixin_44197439的博客
09-09 1960
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
docker-xmrig-proxy:Monero(XMR)Stratum协议代理
04-14
docker-xmrig-proxy Monero(XMR)Stratum协议代理
xm migrate源码分析
chenyulancn的专栏
10-23 889
xen动态迁移虚机的命令为:xm migrate --live 迁移的原理 Xen live migration begins by sending a request, or reservation, to the target specifying the resources the migrating domain will need. If the target a
xmrig挖矿排查
PeterTu的博客
01-30 896
xmrig 挖矿
一例Mozi僵尸网络的挖矿蠕虫分析(workminer)
好好学习,天天向上
04-19 3500
这个挖矿蠕虫有点复杂,使用go和c混合编译,go语言部分分析相对简单,C语言部分分析不明白,没想到一个简单的挖矿木马背后竟然连着一个庞大的僵尸网络。
应急响应-挖矿木马
qq_50765147的博客
02-05 1346
挖矿的英语为Mining,早期主要与比特币相关。用户使用个人计算机下载软件,然后运行特定算法,与远方服务器通信后可得到相应比特币。挖矿就是利用比特币挖矿机赚取比特币。挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其即可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能给长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。
网络安全运维应急响应与溯源分析实战案例
Bertram的博客
03-17 2251
某互联网公司运维团队在日常巡检时,发现一台数据库服务器(192.168.1.100)的CPU使用率异常升高,并伴随大量未知进程占用系统资源,同时MySQL的查询响应时间大幅延长。在日常运维过程中,网络安全事件时有发生,快速响应和精准溯源是保障业务稳定运行的关键。本文将通过一个实际案例,详细解析从发现问题到溯源定位,再到最终解决的完整流程。发现多个异常 SSH 登录记录,部分 IP 源自境外,且短时间内进行了高频登录。平台检测到该服务器有异常 SSH 登录记录,涉及多个可疑 IP 地址。
阿里云dos木马xmrig矿毒
xn1014的博客
01-30 484
删除定时任务cat /etc/crontab,cat /var/spool/cron,删除脚本。修改定时任务权限 chattr +i /etc/crontab。top |grep dos,查询出pid。kill -9 pid杀死进程。找到对应的exe木马位置。rm -rf 删除木马
服务器集体中毒事件 xmrig trace 挖矿病毒
枫小秋 的博客
01-05 7884
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于“挖矿”,随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现。事前我们在服务器的远程登录上限制了只允许VPN+堡垒机登录,对服务器的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务器监控和安全监控中我们却未找到任何端倪。 发生这次事件...
记一次服务器被挖矿的排查过程:xmrig挖矿病毒
热门推荐
矮矮的夏祭的专栏
07-11 1万+
服务器被挖矿,记录一下清除xmrig挖矿病毒的解决过程
xmrig挖矿问题
qq_59665642的博客
04-16 337
kill -9 进程id。
记录一下遭遇xmrig挖矿病毒的经历
weixin_43659244的博客
06-05 1113
三天前遭遇了一次挖矿病毒,在网上找各种帖子,各种方法各种试之后,这个进程依然我行我素.kill掉就生成,crontab里也没有定时任务.netstat -aulntp 查看进程 70hitwLdRv 的通信信息 (不要在乎这个pid和进程名,杀掉一次就变一次)就在快要放弃,准备与光同尘,和病毒共存的时候,突然想到一个不知道是不是办法的办法.rm -rf /var/tmp/.70hitwLdRv 删除文件。ls -l /proc/进程pid/exe 查看文件目录。
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 3333
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 4508
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
《应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 3443
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
xmrig挖矿病毒怎彻底清除
03-20
xmrig挖矿病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币挖矿,导致计算机性能下降和电费增加。为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新版本,并进行全盘扫描。如果你没有安装杀毒软件,建议先安装一个可信赖的杀毒软件。 2. 断开网络连接:为了防止病毒继续传播和更新,断开计算机与互联网的连接。 3. 手动删除文件:使用杀毒软件或者手动查找并删除与xmrig挖矿病毒相关的文件。这些文件通常位于系统目录、临时文件夹或者启动项中。请注意,手动删除文件可能需要一些技术知识,如果你不确定,请寻求专业人士的帮助。 4. 清理注册表:打开注册表编辑器(regedit),搜索并删除与xmrig挖矿病毒相关的注册表项。在删除注册表项之前,请备份注册表以防止意外发生。 5. 恢复系统设置:xmrig挖矿病毒可能会修改系统设置,导致一些功能异常。你可以通过还原系统设置或者重新安装操作系统来恢复正常。 6. 更新系统和软件:确保你的操作系统和软件都是最新版本,以填补安全漏洞,减少被病毒感染的风险。 7. 加强安全意识:避免点击可疑链接、下载未知来源的文件,定期备份重要数据,使用强密码等措施可以提高计算机的安全性。 请注意,以上步骤仅供参考,不同的病毒可能有不同的传播方式和清除方法。如果你对操作不确定或者无法清除病毒,请咨询专业的计算机安全人员或者技术支持。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值