liunx cpu%挖矿木马病毒清理

已于 2024-10-19 09:14:57 修改
阅读量170 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: linux 阿里云 安全
于 2024-10-19 09:13:39 首次发布
原文链接:https://www.cnblogs.com/Gsealy/p/14480365.html

这里是引用非专业人事第一次处理挖矿木马,脱壳啥的也不会,一点一点找到并删除相关文件,最后整理为清理脚本
表征问题

表征问题

  • CPU 占用 100% 空闲内存低 输命令经常会出ERROR:ld.so:…ignored. 会有异常定时任务
    会有一个update.sh或者root.sh的文件,进程会看到curl请求并运行一个脚本,相关进程已经隐藏,不在进程列表显示,系统资源占用,但是没有相关进程显示:
    在这里插入图片描述

检查主要看几个常见的地儿,有没有最近同一时间创建或者修改的内容,像/sbin/,/bin/,/etc/init.d,/etc/corn*/,可疑用户等
有关木马的分析可以看:有关木马的分析可以看:精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

清理

参考其他人清理挖矿木马的过程

  1. 先清空/etc/ld.so.preload
echo "" > /etc/ld.so.preload
rm -rf /usr/local/lib/libprocesshider.so
  1. 删除可疑服务pwnrigl.service和ntpdate.service
chattr -ia /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service > /dev/null 2>&1
systemctl stop pwnrigl.service ntpdate.service && systemctl disable pwnrigl.service ntpdate.service
rm -rf /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service

3.清空定时任务,删除建的用户

crontab -r && crontab -u x -r > /dev/null 2>&1
chattr -ia /etc/cron*/ntpdate /etc/cron*/pwnrig > /dev/null 2>&1 && rm -rf /etc/cron*/ntpdate /etc/cron*/pwnrig
userdel -r x > /dev/null 2>&1 && rm -rf /home/x

4.删除所有释放的程序

rm -rf /var/tmp /tmp/*
pkill -f '\-bash'
chattr -ia /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash > /dev/null 2>&1
rm -rf /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash
chattr -ia /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash > /dev/null 2>&1
rm -rf /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash
chattr -ia /etc/init.d/ntpdate  /etc/init.d/pwnrig > /dev/null 2>&1 && rm -rf /etc/init.d/ntpdate  /etc/init.d/pwnrig
  1. 删除.bash_profile中的异常命令
chattr -ia /$USER/.bash_profile > /dev/null 2>&1 && sed -i '/bprofr/d' /$USER/.bash_profile

清理脚本

#!/bin/env bash
# clean pwnrig coin miner
# Gsealy
# 2021-2-3 21:19:17

set +e

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

USER=`whoami`

function delete_it() {
echo "" > /etc/ld.so.preload
rm -rf /usr/local/lib/libprocesshider.so

chattr -ia /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service > /dev/null 2>&1
systemctl stop pwnrigl.service ntpdate.service && systemctl disable pwnrigl.service ntpdate.service
rm -rf /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service

rm -rf /var/tmp /tmp/*
pkill -f '\-bash'
chattr -ia /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash > /dev/null 2>&1
rm -rf /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash
chattr -ia /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash > /dev/null 2>&1
rm -rf /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash
chattr -ia /etc/init.d/ntpdate  /etc/init.d/pwnrig > /dev/null 2>&1 && rm -rf /etc/init.d/ntpdate  /etc/init.d/pwnrig
chattr -ia /etc/cron*/ntpdate /etc/cron*/pwnrig > /dev/null 2>&1 && rm -rf /etc/cron*/ntpdate /etc/cron*/pwnrig

pkill -f '\-bash' > /dev/null 2>&1
crontab -r && crontab -u x -r > /dev/null 2>&1
userdel -r x > /dev/null 2>&1 && rm -rf /home/x

chattr -ia /$USER/.bash_profile > /dev/null 2>&1 && sed -i '/bprofr/d' /$USER/.bash_profile
}

read -p "ATTENTION: will clean current user's cron task, y[Y] for continue;others exit " _continue
if [[ ("$_continue" == [yY]) ]]; then
    delete_it
    echo "clean finish, please change login password ASAP"
    else
    exit 0
fi
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114
Narutolxy的博客
01-14 1053
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。
Linux-挖矿木马清理
rendongxingzhe的博客
11-22 1884
Linux安全-挖矿防护
Linux挖矿程序清除
延成的博客
09-01 1613
【代码】Linux挖矿程序清除。
清理服务器挖矿木马病毒
FOREVERHOPE_WBZ的专栏
08-28 406
Linux系统中,root用户是具有最高权限的超级管理员账号。如果忘记了root用户的密码或需要更改密码,可以通过以下方法来修改或重置root密码。1.重置root密码重置root密码需要使用root用户或者有sudo权限的用户执行以下步骤:1.1 在系统启动过程中,按下任意键以进入grub菜单。1.2 选中要使用的内核版本,按下e 键进入编辑模式。1.3 找到以"linux16"或"linuxefi"开头的行,将其末尾的 "ro" 更改为 "rw init=/sysroot/bin/sh"
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2674
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
Linux下CPU1000%记一次挖矿病毒清理流程
05-29 756
今天top后发现一个进程CPU高1795%,判断是病毒。
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
python挖矿木马_kworkerds 挖矿木马简单分析及清理
weixin_39952800的博客
12-06 780
公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助。现象top 命令查看,显示 CPU 占用 100%,进程名无明显规则,如:TzBeq3AM。进程有时候会被隐藏,通过分析脚本删除部分依赖文件,可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务,每半小时左右会从 pastebi...
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 1462
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
警惕:能够删除杀毒软件的新型Linux挖矿***来袭
weixin_34005042的博客
11-28 319
如今,网络犯罪分子用来获取非法收入的最常见手段之一,就是在不经过设备所有者同意的情况下使用CPU或GPU资源来进行隐蔽的加密货币挖掘操作。这不,来自俄罗斯网络安全公司Doctor Web的研究人员在近日就发现了一款旨在感染Linux设备的加密货币挖矿恶意软件。值得注意的是,这款恶意软件不仅还会感染处于受感染设备同一网络下的其他联网设备,而且还会删除正在运行的杀毒软件。该恶...
应急响应:挖矿木马-实战 案例一.Linux 系统-排查和删除】
最新发布
网络安全领域___专研者.
08-18 1583
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7632
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
挖矿病毒排查并清除
zm96309的博客
02-28 5071
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
应急响应——Linux挖矿木马处置
记录并分享学习安全的知识点..
12-01 1052
挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 2075
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3437
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
记一次挖矿病毒清理事件
zhanghui200920061988的博客
03-13 1892
近期挖矿病毒猖獗,本文主要记录一次挖矿病毒的清理记录,用以记录或者帮助他人。 中毒特征 输入 top 然后回车查看进程,存在进程消耗了大量CPU,使用kill命令结束进程后,过一段时间后,又会出现。 可能的入侵方式 目前发现常用的入侵方式包括: 利用redis漏洞。redis未设置密码或者密码太过于简单。 系统登录用户口令较为简单。 处理方式 目前处理挖矿病毒的常用的方法包括: 检查定时任...
一次完美彻底的挖矿病毒清理记录,快学起来
qq_42483521的博客
02-09 9546
文章记录服务器中挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 1099
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS记录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS记录被修改,可以通过还原DNS记录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值