一次Ubuntu下的排雷记录

最新推荐文章于 2024-12-20 11:24:50 发布
转载 最新推荐文章于 2024-12-20 11:24:50 发布 · 441 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zhangjpn/p/9664247.html
文章标签:

#网络

本文记录了一次服务器遭遇挖矿病毒的经历,详细描述了病毒如何通过定时任务自动重启,以及如何彻底清除病毒的过程。强调了加强服务器安全的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

起因

某天,发现一台服务器上出现了一个大量占用cpu资源的进程。尝试手动杀掉,但很快就会自动重新创建新的进程。
1055165-20180917183254549-1422030809.png

追查

用命令lsof -p 10316 查看其文件路径:

1055165-20180917183434157-1722838479.png

该进程文件夹/proc/10316下:

1055165-20180917183515792-2022382003.png
1055165-20180917183523061-1308482333.png

看到该文件夹下的exe文件是指向/var/tmp/.../Word,也就是文件夹名字就是"...",查看简要的信息:

1055165-20180917183626422-1411717077.png

其中:
cmdline — 启动当前进程的完整命令
environ — 当前进程的环境变量列表,彼此间用空字符(NULL)隔开;变量用大写字母表示,其值用小写字母表示
cwd — 指向当前进程运行目录的一个符号链接
exe — 指向启动当前进程的可执行文件(完整路径)的符号链接,通过/proc/N/exe可以启动当前进程的一个拷贝
文件介绍

查看cmdline文件发现:

1055165-20180917183849349-1098435069.png

说明这个进程是通过该命令启动的,通过查看进程状态也证实了这一点:

1055165-20180917190334108-290302063.png

为了查找上面cpmg文件的路径,使用find命令find / -name cpmg49nhiCCK4u2Lvt2Y9Tasf8wpnkEYBoeVanWwuFJJRaHMhfPTr5C6QFb4,找到一大堆文件的路径:

1055165-20180917190420174-217312396.png

文件路径基本都是来源于/proc/文件夹中。由于不了解具体是什么内容,我尝试代开其中一个查看:发现并没找到对应的文件,用sudo权限去查找,发现无法找到该cpmg开头的文件。

事情陷入了僵局。回到原处,尝试从启动进程的命令本身寻找线索。

postgres 10316  374  0.0 408984 13844 ?        Ssl  Aug29 202:19 sh                                                          cpmg49nhiCCK4u2Lvt2Y9Tasf8wpnkEYBoeVanWwuFJJRaHMhfPTr5C6QFb4 -o stratum+tcp://monerohash.com:5555 -p x -k -B -l Word.txt --donate-level=1

找到上述exe所指向的可执行文件Word,查看其目录发现:

1055165-20180917190512368-1223917925.png

Word是可执行文件,Word.txt是一个不断增长的类似于日志一样的文件,通过tail –f Word.txt的结果如下:

1055165-20180917190543612-801724879.png

由此大概可以知道前面的启动命令是什么意思了,就是通过与其他机器建立连接,不断地上传数据。
但是仍然不知道它具体是怎么操作的,于是乎上谷歌查了一下stratum+tcp://monerohash.com:5555这个东西,发现有网友出现过相同的问题,另有网页1介绍:

1055165-20180917190607695-82385864.png

原来是些挖矿的病毒程序,上面的情况说明了自己的服务器已经被别人用作挖矿了。相似的网站还有下面这些
stratum+tcp://mine.moneropool.com:8080
stratum+tcp://mine.moneropool.com:3336
stratum+tcp://xmr.hashinvest.net:443
stratum+tcp://xmr.hashinvest.net:5555
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://monerohash.com:5555
stratum+tcp://mine.xmr.unipool.pro:3333
stratum+tcp://xmr.prohash.net:5555
stratum+tcp://xmr.miner.center:2777
stratum+tcp://mine.xmr.unipool.pro:80
stratum+tcp://pool.minexmr.com:7777
stratum+tcp://cryptonotepool.org.uk:7777
stratum+tcp://mro.poolto.be:3000

这样基本可以定位这里就是挖矿程序的源头。
仔细分析其中的文件:
/var/tmp/…/a

1055165-20180917190633859-1791520148.png

cron.d文件
1055165-20180917190653089-1310487057.png

run文件
1055165-20180917190728315-846748153.png

udp文件
1055165-20180917190745807-150626893.png

x文件
1055165-20180917190801195-1853410016.png

基本可以定位它无法杀死的原因就是加入了一个随时的定时任务,一旦杀死就会自动重启。

查看该用户的定时任务列表,当前用户默认只能看到自己的定时任务,所以需要sudo。

sudo crontab –l –u postgres

确实发现了该定时任务:
1055165-20180917190821111-985879751.png

crontab命令选项基本只有对用户操作的选项:
-u 指定一个用户
-l 列出某个用户的任务计划
-r 删除某个用户的任务
-e 编辑某个用户的任务

既然定位了问题,接下来就是解决该问题。
首先要做的就是删掉该定时任务:

sudo crontab –u postgres –r 删除

crontab命令

然后删掉对应的执行文件:

sudo rm –r …/

最后关停掉对应的所有该用户下的进程:

pkill –u postgres

kill -9 10316

至此该问题终于得到解决。

总结

是什么原因导致该病毒文件被放到服务器中?
现在想到的一种可能是登录用户的密码被破解了。由于前面涉及的用户是postgres,所以可能的情况是有人用默认的用户名和密码进行嗅探登录。幸亏该用户没有根权限。但是需要引起注意的就是:

1、 能不创建用户就不创建用户
2、 能禁止登录就禁止登录
3、 密码要尽量复杂
4、 变更默认端口防止嗅探

完。

转载于:https://www.cnblogs.com/zhangjpn/p/9664247.html

dinght2000
关注
Linux系统之部署扫雷小游戏(三)
jks212454的博客
07-21 706
Linux系统之部署扫雷小游戏(三)
ld-linux-x86-64.so.2挖矿木马,排查操作记录
Nikkis的博客
12-27 4608
排查并彻底清除ld-linux-x86-64.so.2挖矿木马
菜鸟Ubuntu安装排雷(win10重新安装,ubuntu18.04安装)
zhangzhangchenchu的博客
10-19 2235
菜鸟Ubuntu安装排雷(win10重新安装,ubuntu18.04安装) #情况简介 转专业读研菜鸟,联想四年前低配置电脑,刚开始装的是win7(此系统Ubuntu安装过程中不能识别出来,因此走了很多弯路),后安装Ubuntu18.04,但因为分区原因,/home分的太少了,所以就没有办法布置Hadoop环境。毕竟我研究生方向是数据挖掘。 后手贱直接手动删除Ubuntu分区,重装Ubuntu.显...
Ubuntu的mine扫雷的c程序
12-11
可以编译安装,也作为大家编程的参考,非常难得的源代码啊,是一个linux的高手编写的
linux 终端的 扫雷游戏
06-22
linux终端的扫雷游戏, VT100字符编码, 适用于linux编程学习。
趣味编程:命令行版的扫雷游戏
Eidolon
01-06 539
今天很无聊,刚好有人问如何写一个扫雷程序。想了一下,写了一个命令行版的扫雷程序。等有时间再用Swing写个界面吧。贴在这里让大家玩玩,哈哈。 [code="java"] package fun.mine; import java.io.BufferedReader; import java.io.InputStreamReader; import java.util.List; i...
C语言实现实数和复数矩阵及其各种运算(一)
学术垃圾制造者的博客
08-15 5444
一、前言 最近在企业实习,花了三个星期的时间肝了一个室内定位算法(雏形,还未优化),实现matlab和C的联写、联调,其难点我认为在于矩阵的各种运算,C++中有Eigen库可用,以前在学slam和做课题时候在Ubuntu下用过一段时间的Eigen,功能强大,提供了各种典型的matrix计算接口,但是在C中,需要我们自己编写每个功能模块。算法核心代码matlab只有大概100行,但是C我写了大概有1500多行。谨以此连载文档记录一下算法开发的关键--复数矩阵运算。 网上关于C语言实现矩阵运算的de
SQL语句整理五-StarRocks
最新发布
小强签名设计 的博客
12-20 1051
【代码】SQL语句整理五-
扫雷之路:Ubuntu16.04+CUDA9.0+TensorFlow1.6
xmh的专栏
03-17 1215
随着深度学习的流行,Ubuntu系统的安装量也逐年上升。网上关于Ubuntu+深度学习框架的安装介绍博客层出不穷,有些确实能帮我们避坑,但有些由于信息表述不全可能让某些需要江湖救急的同学遇到新坑。 前几天,装有双系统的电脑突然出现了Ubuntu16.04的循环登录问题。上网查找解决方案未果,只得重装。考虑到下次还可能遇到重装的“机会”,特将本次测试通过的“Ubuntu16.04+TensorFl...
扫雷
qazaq408的博客
03-09 456
做完了才返现其实也没用到多少东西,唯一的可能就是重写了一个鼠标点击事件,其他的基本是教材前几章基础部分的内容用一个继承QPushButton的按钮来做地雷,在一个对话框上放置了15X15个用于来模拟地雷雷周围的8个格子肯定为数字,所以空白格子周围的8个格子肯定不会为地雷  胜利条件为打开所有的空格(数字+空白)并且右键标记出所有的地雷(右键标记为?号)然后这里做了个简单的难度选择,在选项菜单中选择
检查是否中了挖矿木马4 linux,一款新型的Linux挖矿木马来袭
weixin_42421284的博客
05-13 905
原标题:一款新型的Linux挖矿木马来袭一、事件背景最近接到客户反馈,发现Linux机器卡顿,CPU使用量超标高达90%以上,怀疑被挖矿,深信服EDR安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的研究分析。二、样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下: pool.minexmr.com,xmr-eu1.na...
linux 木马 源码,一款新型的Linux挖矿木马来袭
weixin_29577885的博客
05-12 1445
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
linux系统遇到挖矿程序
破草的博客
09-02 1万+
作为一个小白,在阿里买个一个服务器用来学习使用,前不久刚安装了redis,犹豫没有及时配置,导致服务器被恶意攻击了 阿里推给我好几条消息,一开始我还没在意,但到真的登入服务器敲命令的时候才发现,很卡!!! 查了一下cpu占有率,发现原来是这个进程的问题,kill把这个进程杀掉,完结! 结果没过多久,整个系统又卡的不行,反映又慢了一拍,查看了下还是这个顽强的进程。。。没辙,只能看看有没...
Linux运维|记录一个挖矿病毒
qq_42968558的博客
08-19 485
本文转载自本人公众号 现象 任何程序都会在执行一段时间之后被kill 检查top命令,得到结果如下: 检查crontab发现root中被写入定时服务:用crontab往服务器写入了一个命令,会定时调用python进程连接到 166.111.57.30:3333这个位置远程跑程序。 * * * * * python -lan 166.111.57.30:3333 检查发现3333端口前一段时间爆发挖矿病毒,怀疑是166.111.57.30成为校内肉鸡。基本确定是挖矿木马。此条命令清除掉之后,还是有同样的
Ubuntu系统下ntp服务器搭建
李迟的专栏
02-23 3769
之前文章一直提及的“设备”,其它可以把它理解为一台X86架构的安装了ubuntu系统的服务器,其实这系统已经安装了ssh、telnet、apache等服务器了。本文讲讲搭建一个ntp服务器。 对于ntp,我们的设备需要提供同步的函数接口,以便调用者可以随时随意地同步时间。我的工作更是安装ntp工具以及教人如何调用这个工具。
stratum协议原理
热门推荐
予衡飞翔
06-16 2万+
stratum协议是目前最常用的矿机和矿池之间的TCP通讯协议。先简要说明挖矿的网络架构。   一、挖矿的网络架构   比特币是一个去中心化的网络架构,通过安装比特币守护程序的节点来转发新交易和新区块。而矿机、矿池也同时形成了另一个网络,我们称之为矿工网络。 矿工网络分成矿机、矿池、钱包等几个主要部分,有时矿池软件与钱包安装在一起,可合称为矿池。 矿机与矿池软件
ethermine延迟无效高解决方案
是故事啊~关注我~
11-26 2581
下面文章详细介绍如何降低无效和延迟 方案优势: 1,低成本:一年只要几百块,折合一个月几十块,每天约等于1-2块,平摊到每台机器上成本更低。 2,效果显著:部署后,延迟可以大幅度降低。广东大部分地区连接asia2节点为例,延迟可以降低到20ms以内。同时可以大幅度丢包率,降低Shared的延迟率和无效率。 解决方案: 目前国内的云主机厂商都推出了海外节点,香港节点是距离大陆最近,连接速度也最快的地域。 国内常见的有阿里云和腾讯云,下面我们先说说两家的区别。 1,阿里云:国内最大的公有云厂家,但是价格也是最贵
阿里云服务器被挖矿程序minerd入侵的终极解决办法
danson_yang的专栏
12-19 2557
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:  3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM...
用c语言写一个排雷游戏
03-22
好的,以下是一个简单的排雷游戏的C语言代码: #include <stdio.h> #include <stdlib.h> #include <time.h> #define ROWS 10 #define COLS 10 #define MINES 10 void init_board(char board[][COLS], int rows, int cols, char ch); void print_board(char board[][COLS], int rows, int cols); void set_mines(char board[][COLS], int rows, int cols, int num_mines); void get_neighbors(char board[][COLS], int rows, int cols, int row, int col, int *n, int *s, int *e, int *w, int *ne, int *nw, int *se, int *sw); void reveal(char board[][COLS], char mask[][COLS], int rows, int cols, int row, int col); int count_mines(char board[][COLS], int rows, int cols, int row, int col); int main(void) { char board[ROWS][COLS]; char mask[ROWS][COLS]; int row, col, num_mines, num_revealed; srand((unsigned)time(NULL)); init_board(board, ROWS, COLS, '-'); init_board(mask, ROWS, COLS, '*'); num_mines = MINES; set_mines(board, ROWS, COLS, num_mines); num_revealed = 0; while (num_revealed < ROWS * COLS - num_mines) { print_board(mask, ROWS, COLS); printf("Enter row and column (e.g. 3 4): "); scanf("%d %d", &row, &col); if (board[row][col] == '*') { printf("BOOM! Game over.\n"); break; } reveal(board, mask, ROWS, COLS, row, col); num_revealed++; } if (num_revealed == ROWS * COLS - num_mines) { printf("Congratulations! You win!\n"); } return 0; } void init_board(char board[][COLS], int rows, int cols, char ch) { int i, j; for (i = 0; i < rows; i++) { for (j = 0; j < cols; j++) { board[i][j] = ch; } } } void print_board(char board[][COLS], int rows, int cols) { int i, j; printf(" "); for (j = 0; j < cols; j++) { printf("%d ", j); } printf("\n"); for (i = 0; i < rows; i++) { printf("%d ", i); for (j = 0; j < cols; j++) { printf("%c ", board[i][j]); } printf("\n"); } } void set_mines(char board[][COLS], int rows, int cols, int num_mines) { int i, j, k; for (k = 0; k < num_mines; k++) { do { i = rand() % rows; j = rand() % cols; } while (board[i][j] == '*'); board[i][j] = '*'; } } void get_neighbors(char board[][COLS], int rows, int cols, int row, int col, int *n, int *s, int *e, int *w, int *ne, int *nw, int *se, int *sw) { *n = (row > 0) ? board[row - 1][col] : 0; *s = (row < rows - 1) ? board[row + 1][col] : 0; *e = (col < cols - 1) ? board[row][col + 1] : 0; *w = (col > 0) ? board[row][col - 1] : 0; *ne = (row > 0 && col < cols - 1) ? board[row - 1][col + 1] : 0; *nw = (row > 0 && col > 0) ? board[row - 1][col - 1] : 0; *se = (row < rows - 1 && col < cols - 1) ? board[row + 1][col + 1] : 0; *sw = (row < rows - 1 && col > 0) ? board[row + 1][col - 1] : 0; } void reveal(char board[][COLS], char mask[][COLS], int rows, int cols, int row, int col) { int n, s, e, w, ne, nw, se, sw, num_mines; if (mask[row][col] == '-') { mask[row][col] = board[row][col]; if (board[row][col] == ' ') { get_neighbors(board, rows, cols, row, col, &n, &s, &e, &w, &ne, &nw, &se, &sw); if (n == '-') reveal(board, mask, rows, cols, row - 1, col); if (s == '-') reveal(board, mask, rows, cols, row + 1, col); if (e == '-') reveal(board, mask, rows, cols, row, col + 1); if (w == '-') reveal(board, mask, rows, cols, row, col - 1); if (ne == '-') reveal(board, mask, rows, cols, row - 1, col + 1); if (nw == '-') reveal(board, mask, rows, cols, row - 1, col - 1); if (se == '-') reveal(board, mask, rows, cols, row + 1, col + 1); if (sw == '-') reveal(board, mask, rows, cols, row + 1, col - 1); } } } int count_mines(char board[][COLS], int rows, int cols, int row, int col) { int n, s, e, w, ne, nw, se, sw, count; get_neighbors(board, rows, cols, row, col, &n, &s, &e, &w, &ne, &nw, &se, &sw); count = 0; if (n == '*') count++; if (s == '*') count++; if (e == '*') count++; if (w == '*') count++; if (ne == '*') count++; if (nw == '*') count++; if (se == '*') count++; if (sw == '*') count++; return count; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值