liunx cpu%挖矿木马病毒清理

这里是引用非专业人事第一次处理挖矿木马,脱壳啥的也不会,一点一点找到并删除相关文件,最后整理为清理脚本
表征问题

表征问题

  • CPU 占用 100% 空闲内存低 输命令经常会出ERROR:ld.so:…ignored. 会有异常定时任务
    会有一个update.sh或者root.sh的文件,进程会看到curl请求并运行一个脚本,相关进程已经隐藏,不在进程列表显示,系统资源占用,但是没有相关进程显示:
    在这里插入图片描述

检查主要看几个常见的地儿,有没有最近同一时间创建或者修改的内容,像/sbin/,/bin/,/etc/init.d,/etc/corn*/,可疑用户等
有关木马的分析可以看:有关木马的分析可以看:精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析

清理

参考其他人清理挖矿木马的过程

  1. 先清空/etc/ld.so.preload
echo "" > /etc/ld.so.preload
rm -rf /usr/local/lib/libprocesshider.so
  1. 删除可疑服务pwnrigl.service和ntpdate.service
chattr -ia /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service > /dev/null 2>&1
systemctl stop pwnrigl.service ntpdate.service && systemctl disable pwnrigl.service ntpdate.service
rm -rf /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service

3.清空定时任务,删除建的用户

crontab -r && crontab -u x -r > /dev/null 2>&1
chattr -ia /etc/cron*/ntpdate /etc/cron*/pwnrig > /dev/null 2>&1 && rm -rf /etc/cron*/ntpdate /etc/cron*/pwnrig
userdel -r x > /dev/null 2>&1 && rm -rf /home/x

4.删除所有释放的程序

rm -rf /var/tmp /tmp/*
pkill -f '\-bash'
chattr -ia /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash > /dev/null 2>&1
rm -rf /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash
chattr -ia /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash > /dev/null 2>&1
rm -rf /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash
chattr -ia /etc/init.d/ntpdate  /etc/init.d/pwnrig > /dev/null 2>&1 && rm -rf /etc/init.d/ntpdate  /etc/init.d/pwnrig
  1. 删除.bash_profile中的异常命令
chattr -ia /$USER/.bash_profile > /dev/null 2>&1 && sed -i '/bprofr/d' /$USER/.bash_profile

清理脚本

#!/bin/env bash
# clean pwnrig coin miner
# Gsealy
# 2021-2-3 21:19:17

set +e

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

USER=`whoami`

function delete_it() {
echo "" > /etc/ld.so.preload
rm -rf /usr/local/lib/libprocesshider.so

chattr -ia /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service > /dev/null 2>&1
systemctl stop pwnrigl.service ntpdate.service && systemctl disable pwnrigl.service ntpdate.service
rm -rf /usr/lib/systemd/system/pwnrigl.service /usr/lib/systemd/system/ntpdate.service

rm -rf /var/tmp /tmp/*
pkill -f '\-bash'
chattr -ia /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash > /dev/null 2>&1
rm -rf /bin/sysdr /bin/initdr /bin/crondr /bin/bprofr /bin/-bash
chattr -ia /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash > /dev/null 2>&1
rm -rf /sbin/lntpdate /sbin/entpdate /sbin/bsysd /sbin/binitd /sbin/bcrond /sbin/msysd /sbin/minitd /sbin/mcrond /sbin/-bash
chattr -ia /etc/init.d/ntpdate  /etc/init.d/pwnrig > /dev/null 2>&1 && rm -rf /etc/init.d/ntpdate  /etc/init.d/pwnrig
chattr -ia /etc/cron*/ntpdate /etc/cron*/pwnrig > /dev/null 2>&1 && rm -rf /etc/cron*/ntpdate /etc/cron*/pwnrig

pkill -f '\-bash' > /dev/null 2>&1
crontab -r && crontab -u x -r > /dev/null 2>&1
userdel -r x > /dev/null 2>&1 && rm -rf /home/x

chattr -ia /$USER/.bash_profile > /dev/null 2>&1 && sed -i '/bprofr/d' /$USER/.bash_profile
}

read -p "ATTENTION: will clean current user's cron task, y[Y] for continue;others exit " _continue
if [[ ("$_continue" == [yY]) ]]; then
    delete_it
    echo "clean finish, please change login password ASAP"
    else
    exit 0
fi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值