下面记录一下病毒的行为和查杀方法。...该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把 libudev.so 拉起来,而且这个监控进程为了防止备关掉,还会不停的变换自己的进程名和进程号,这就给查杀带来了更大的难度...1.2 查杀方法 首先删除 /etc/crontab 文件中的定时任务,并保护该文件不再被病毒修改: $ sudo chattr +i /etc/crontab 然后定位病毒的主进程,这需要通过 top...XMR 挖矿程序 2.1 病毒特征 第二种病毒是门罗币(XMR)挖矿程序,门罗币似乎是今年年初涨得很快,所以用病毒入侵挖矿的手法也就出现了,病毒主要是通过下载脚本,运行后下载并启动挖矿程序来工作,脚本的内容如下...,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里面讲的非常详细。
二、查杀方法 1、断网,停止定时任务服务; 2、查杀病毒主程序,以及保护病毒的其他进程; 3、恢复被劫持的动态链接库和开机服务; 4、重启服务器和服务; 附查杀脚本(根据情况修改) (脚本参考(https...://blog.csdn.net/u010457406/article/details/89328869)) 查杀完成以后重启服务器,发现过段时间,登陆主机,无论本地还是ssh远程登陆,依然会有病毒进程被拉起...删除并次查杀病毒(重复之前查杀步骤),重启服务器,观察一段时间后不再有病毒程序被拉起,至此病毒被查杀完全。...2、病毒主要模块 主恶意程序:kerberods 恶意Hook库:libcryptod.so libcryptod.c 挖矿程序:khugepageds 恶意脚本文件:netdns (用作kerberods...usr/local/lib/libcryptod.so 5> 预加载动态链接库,恶意hook关键系统操作函数 6> 修改/etc/cron.d/root文件,增加定时任务 7> 拉起khugepageds挖矿进程
通过分析,定性为是一起针对“门罗币”的挖矿木马入侵事件。本文记录处理该事件的关键过程以及对该挖矿木马核心代码进行的分析,方便做事件响应的同行们碰到同家族类型木马后可以快速查杀,定性威胁事件。...0x01 木马行为与查杀过程 主要行为 木马以r88.sh作为downloader首先控制服务器,通过判断当前账户的权限是否为root来进行下一步的操作,若为root则在目录/var/spool/cron...木马查杀 1)尝试杀掉bashd与bashe进程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh与r88.sh这些shell进程 2)清除掉/tmp目录下木马释放的文件:/...spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/root done 0x02 **木马核心代码分析** 木马整体编写逻辑 该木马使用Linux...该项目在:https://github.com/xmrig/xmrig 0x03 总结 该挖矿木马并没有使用很多高级的防查杀技术,也没有广泛传播的蠕虫属性,仅仅使用定时任务来实现简单的进程保护,通过无差别攻击进行
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。
前言 在Linux系统下面,top命令可以查看查看stopped进程。但是不能查看stopped进程的详细信息。那么如何查看stopped 进程,并且杀掉这些stopped进程呢?
Linux清理挖矿程序@bug Linux清理挖矿程序 最近服务器经常被挖矿,一些经验 1....找到挖矿程序 挖矿程序跑起来几乎占满了所有的CPU,以及GPU,用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号,此时不能用kill -9 PID号来进行清除,会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx(command一行),ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2.
Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/149135.html原文链接:https://javaforall.cn
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top [image-20210629223207356] 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 [image-20210629224536853] 原来在 tmp下面有文章 ,但是被 deleted...pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试 > kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 image-20210629224536853 原来在 tmp下面有文章 ,但是被 deleted...pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。
0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器被感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows
第一步:下载Win32.Parit … Linux系统木马后门查杀方法详解 木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法...:totonm.com.cake.pilutce.com:443 病毒处置 删除关键病毒文件:C:\Win … Powershell无文件挖矿查杀方法 病毒现象 服务器出现卡顿.CPU飙升 和其他主机的...第一步:下载Win32.Parit … zigw 和 nanoWatch, libudev.so 和 XMR 挖矿程序查杀记录 最近这两天以来,服务器一致声音很响.本来以为有同事在运行大的程序...但是,问题并没 … linux服务器上使用find查杀webshell木马方法 本文转自:http://ju.outofmemory.cn/entry/256317 只要从事互联网web开发的,都会碰上...web站点被入侵的情况.这里我把查杀的一些方法采用随记的形式记录一下,一是方便 … Linux下 XordDos(BillGates)木马查杀记录 最近朋友的一台服务器突然网络异常,
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top 图片 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 图片 原来在 tmp下面有文章 ,但是被 deleted,不管先去看看 > /tmp/.dHyUxCd...本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
在对linux系统应急处理时,常需要查杀系统中是否存在恶意文件,但纯手工检查的话,难免会有遗漏,虽然在linux系统中也有一些专门门的查杀工具,但终究维护的人少,效果也不是非常明显,但如果先使用windows...平台下的杀毒软件,去查杀linux文件的话,那效果是会强上一个等级,下面我们就来介绍下如何在windows下查杀linux系统文件的方法,提供一种思路: 1.linux开启nfs,共享 ‘/ ‘ 或...‘web目录’ #(根据需要); 2.windows挂载 linux共享 ; 3.开启杀毒软件,查杀挂载盘。...通过实际对win下常用的几个检测webshell软件进行了实例测试,发现D盾web查杀是其中检测效果比较好的一款软件,查杀率高达63%,评分5星(大家如果有更好的查杀软件,欢迎推荐)。...打开D盾web查杀,指定挂载的H盘目录,对其文件进行查杀,效果如下: ? 写在最后的话: 本文章旨在抛砖引玉,发散思维,发散 。。。 发散。。。 发。。。
原文链接:奇安信攻防社区 https://forum.butian.net/share/3015 挖矿事件 说明:百度的应急文章很多,在此不在介绍如何按照手册进行排查,只针对实战进行分析和排查。...在微步进行进一步核实 确认为恶意远控文件,然后进行查杀进程和查杀文件,发现无法直接查杀,查杀进程后会立即重启该服务进程,且会一直存在。这个时候就有点小麻烦了。不是正常的操作,且隐藏的守护进程不好找。...怀疑有守护进程 什么是守护进程 Linux系统启动时会启动很多系统服务进程,这些系统服务进程没有控制终端,不能直接和用户交互。...守护进程的特点 (1)在Linux中,每个系统与用户进行交流的界面成为终端,每一个从此终端开始运行的进程都会依附于这个终端,这个终端被称为这些进程的控制终端; (2)当控制终端被关闭的时候,相应的进程都会自动关闭...这样找到问题所在,直接删除这个crun.service文件,查杀进程后(按照上述的方法查杀文件,进程)然后在删除之前的挖矿文件后 没有之前的超负荷运行了。
分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。 进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。...authotrized_keys 文件中,进而可以直接登录目标服务器;如果Redis服务是以root权限启动,可以利用该问题直接获得服务器root权限 整个入侵流程大概是包含以下几个环节: 1、扫描开放6379端口的Linux...文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入crontab任务 3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
