kswapd0病毒处理
语音阅读2020-12-29 16:16
一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。
那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743,通过 ll /proc/2743,我们看进程里啥玩意。看到了执行了 一个 /root/.configre/a/kswapd0 ,这个就太形迹可疑了,这完全是病毒程序呀,还在/root/.configrc/ 目录里。
我们查看下,这个查看下这个进程是否有对外连接端口,netstat -anltp|grep kswapd0,显示IP是的 45.9.148.117的
查询了一下,是一个荷兰的IP地址:
习惯的再看了下 计划任务,crontab -e,好家伙,计划任务里面也不少。tmp目录也有。
==, last,我们看下安全日志有无无异常
less /var/log/secure|grep 'Accepted'
查了一个ip,85.25.197.79 85.203.33.49 ,一个法国,一个德国的。应该都是代理啥的吧。
看来是被入侵无疑了,还用root ssh上来的。基本上的root密码太简单了,比如我这朋友设置的 密码就是 类似于 1q2w3e.. 类似这样的,这些扫描病毒常用字段都是有的,赶紧改了
病毒结构
病毒结构,我看到的是这样的 (经过网上查证,该病毒种类繁多,文件位置基本不一样)
/root/.configrc/*病毒所在目录 /root/.ssh/病毒公钥 /tmp/.X25-unix/.rsync/*病毒运行缓存文件 /tmp/.X25-unix/dota3.tar.gz病毒压缩包 /root/.configrc/a/kswapd0 病毒主程序 ==========病毒相关计划任务========== 1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1 @reboot /root/.configrc/a/upd>/dev/null 2>&1 5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1 @reboot /root/.configrc/b/sync>/dev/null 2>&1 0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1 ====================================
病毒处理
1、先立即修改掉密码。删除一些后门ssh key内容。
2、直接kill掉2743进程,后续观察服务,然后 清理计划任务: crontab -e
kill -9 2743
3、删除/root/ 目录下的.configrc文件夹
rm -rf /root/.configrc/
4、删除/tmp目录下 的那个计划任务文件
5、这玩意是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/bin/perl /usr/bin/perl-bak,然后锁定目录chattr +i /usr/bin #看自己情况操作
安全建议
- 尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
- 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
- 密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
- 及时修补系统和软件漏洞
病毒种类
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。所以大家一定要修改好强悍的root密码。网上有这个病毒更详细的分析报告,大家有兴趣可以去搜下。
http://www.hackdig.com/12/hack-243523.htm
kswapd0病毒处理相关推荐
- kswapd0病毒查杀
6月27日发现CPU被挤爆 通过top查看进程使用情况发现属于git用户下出现许多进程,占用满的CPU 处理办法 直接kill掉git用户下的所有进程! 6月28日观察,并未发现异常. 6月29日休息 ...
- Linux服务器kswapd0病毒查杀处理
公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了. 首先在腾讯云安全组策略里,把这个IP列为全端口黑名单,然后修 ...
- kswapd0病毒查杀过程
一.发现病毒 1.服务器负载异常高 2.使用top命令查看到kswapd0进程是用test用户起的 3.查看应用连接发现有外网IP连接 4.查询IP归属地,发现是荷兰的IP 5.查看程序的路径,发现是 ...
- Linux kswapd0进程CPU占用过高,病毒清理
(立即修改掉密码删除一些后门ssh key内容) 一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死 ...
- 和kswapd0挖矿病毒做斗争的一天
近期 通过 top 检查服务器状态,发现一个 kswapd0 进程占用cup 超高,负载接近100% 这种情况很是不科学啊,cup达到100%,基本上可以断定是被病毒入侵了 之前自己安装过es 服务, ...
- Centos7中病毒排查[tsm][kswapd0]
大清早看到腾讯云的短信,说检测到木马文件 心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看. 我的容器 ...
- 服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满) 前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱.短信以及电话通知(监管部门是不允许服务器被直 ...
- linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
话不多说上干货 突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录 检查服务器 top 查看当前服务器情况 发现异常,kswapd0把cpu干爆了 网上查了一圈发现这特喵的是挖矿病毒 惊呆了 ...
- kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源. 2.也有挖矿病毒伪装成 ...
最新文章
- 区块链+数字经济发展白皮书,45页pdf
- 第二次打开不是最大_“相亲失败,也许不是坏事”
- Apache Beam 是什么,它为什么比其他选择更受欢迎?
- Thinking in java 笔记一
- Android项目实战(三):实现第一次进入软件的引导页
- 为什么阿里巴巴建议集合初始化时,指定集合容量大小?
- 【matplotlib】绘制动态图像
- 使用tSQLt创建SQL单元测试实用程序过程
- Perl篇:获取操作系统的信息
- 三、python环境的搭建之建建建
- java底层 文件操作,java底层是怎样对文件操作的
- CRM运维工程师主要职责
- 五笔字根表识别码图_五笔输入法口诀(五笔字根表快速记忆图)
- v-loading.fullscreen.lock初始化后第一次点击无效
- 线性代数————思维导图(上岸必备)(相似理论)
- Java写的一个简易木马(仅供自娱自乐)(基于UDP实现版)
- node.js毕业设计安卓在线民宿预定app(程序+APP+LW)
- 关于arduino的各种网站
- wgs84转百度坐标系
- 手工计算对数的方法和对应的C代码