记录一次minerd肉鸡木马的排查思路
前言
在日常使用Linux系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡。以下就是一次肉鸡木马病毒的排查过程,有助于运维服务器时遇到此情况时进行针对性的排查和修复。
【问题现象】
Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。
【问题原因】
这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。
经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径
执行ll /proc/$PID/exe,其中$PID为查询到的进程ID
异常程序在/opt目录下
此程序一般是由计划任务产生的,Linux系统中默认创建了计划任务后会在/var/spool/cron目录下创建对应用户的计划任务脚本,执行ls /var/spool/cron 查询一下系统中是否有异常的计划任务脚本程序。
可以看到,在此目录下有1个root的计划任务脚本和一个异常的目录crontabs(默认情况下不会有此目录,用户创建计划任务也不会产生此目录)
查看脚本内容,有一个每隔10分钟便会通过curl下载执行的脚本程序(crontabs目录下为同样内容的计划任务)
手动将脚本内容下载到本地,脚本内容如下:
分析此脚本,主要进行了如下修改:
1、创建了上述查看到的两个计划任务脚本
2、创建了密钥认证文件,导入到了/root/.ssh目录下(当前脚本的密钥文件名是KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实)
3、修改ssh配置文件允许了root远程登录,允许了密钥认证,修改默认的密钥认证文件名
4、重启了sshd服务使配置生效
5、创建了伪装程序ntp,并运行了ntp程序
6、查询系统中是否有正常运行的计划任务,杀死正在运行的计划任务进程。
【处理方法】
根据以上分析,提供以下处理方法:
1、删除计划任务脚本中异常配置项,如果当前系统之前并未配置过计划任务,可以直接执行rm -rf /var/spool/cron/* 情况计划脚本目录即可。
2、删除黑客创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接执行rm -rf /root/.ssh/* 清空认证存放目录即可。如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可,当前脚本的密钥文件名是KHK75NEOiq,此名称可能会有所变化,要根据具体情况进行核实。
3、修复ssh配置项,根据个人需求进行修改,一般默认脚本中进行修改的PermitRootLogin、RSAAuthentication、PubkeyAuthentication为开启状态,需要修改的是密钥认证文件名,建议修改成默认值AuthorizedKeysFile .ssh/authorized_keys即可。修改完成后重启sshd服务,使配置生效即可。
4、删除黑客创建的伪装程序ntp
执行ls /etc/init.d/可以看到系统中是由对应的伪装程序的
通过chkconfig --list ntp 可以看到此程序默认设置的是开机自动启动。
如果此程序不进行清除,即使删除了minerd程序并且杀死了对应的进程,过一会系统还会重新创建minerd程序,并产生新的进程
查询一下当前系统中是否有ntp进程,可以看到ntp进程是通过/usr/sbin/ntp程序产生,因此需要把对应的执行程序也进行删除。
总结一下删除伪装程序的操作步骤
kill -9 $PID 杀死查询到的ntp进程
rm -rf /etc/init.d/ntp
rm -rf /usr/sbin/ntp (此路径要根据具体的查询数据确定,实际情况可能会有所变化)
5、根据之前的查询minerd程序所在路径为/opt,在执行的脚本中同时也在/opt目录下创建了一个KHK75NEOiq33的程序文件,因此要删除这两个文件,执行rm -rf KHK75NEOiq33 minerd 即可。
6、使用kill命令杀死minerd进程
通过ps命令查询一下minerd对应的进程详细情况。
kill -9 $PID 杀死对应的进程ID
备注:根据ps查询结果显示minerd有向域名xmr.crypto-pool.fr进行数据通信,通过ping测试域名解析核实此域名对应的IP地址,然后在ip.taobao.com进行查询显示IP为法国的IP,然后通过iftop -i eth1 -PB命令对流量进行了监控,确实存在向法国的IP发送数据的情况,为了避免再次被入侵,可以通过iptables屏蔽对应的异常IP(具体的IP和域名要根据实际查询的情况而定,可能会有所不同)。
以上修复完成后可以等待一会再次进行一下观察,看看是否还会在/opt目录下创建新的minerd程序,以及是否还有新的minerd进程产生。
最后,建议平时增强服务器的安全维护,优化代码,以避免因程序漏洞等导致服务器被入侵。
记录一次minerd肉鸡木马的排查思路相关推荐
- 一次 minerd 肉鸡木马的排查思路
一次 minerd 肉鸡木马的排查思路 在日常使用 Linux 系统服务器时,如果系统安全维护方面做的不够规范和严谨,很容易导致主机被黑客植入恶意木马病毒被当做肉鸡.以后就是一次肉鸡木马病毒的排查过程 ...
- Linux主机肉鸡木马minerd导致CPU跑满
摘要: Linux主机肉鸡木马minerd导致CPU跑满 [问题现象] Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描. [问题原因] 这种状况在出现时通过 ...
- LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...
- Window入侵排查思路
一.开机启动项 1.在Windows系统中查看启动项,首先要排查的就是开机自启项. 开始菜单里的程序中的自启 •C:\Users\Administrator\AppData\Roaming\Micro ...
- Linux入侵类问题排查思路
深入分析,查找入侵原因 一.检查隐藏帐户及弱口令 检查服务器系统及应用帐户是否存在 弱口令: 检查说明:检查管理员帐户.数据库帐户.MySQL 帐户.tomcat 帐户.网站后台管理员帐户等密码设置是 ...
- centos 7 局域网丢包排查_ethtool原理介绍和解决网卡丢包排查思路
前言 之前记录过处理因为LVS网卡流量负载过高导致软中断发生丢包的问题,RPS和RFS网卡多队列性能调优实践,对一般人来说压力不大的情况下其实碰见的概率并不高.这次想分享的话题是比较常见服务器网卡丢包 ...
- curl命令java_让 Bug 无处藏身,Java 线上问题排查思路、常用工具
本文总结了一些常见的线上应急现象和对应排查步骤和工具.分享的主要目的是想让对线上问题接触少的同学有个预先认知,免得在遇到实际问题时手忙脚乱. 只不过这里先提示一下.在线上应急过程中要记住,只有一个总体 ...
- mysql故障排查思路_Mysql高负载排查思路
发现问题 top命令 查看服务器负载,发现 mysql竟然百分之两百的cpu,引起Mysql 负载这么高的原因,估计是索引问题和某些变态SQL语句. 排查思路 1. 确定高负载的类型,top命令看负载 ...
- load average多少是正常_从阿里大促中,我理出的CPU与Load异常排查思路
前言 大家都知道服务器在大促期间由于流量的增加势必导致机器的cpu与load变高,本文将与大家一起巩固cpu和load的概念,为今年各种大促做准备的同时也是增加自己的技能储备. 不过cpu和load这 ...
最新文章
- pandas apply()函数参数 args
- 基于深度学习的图像语义分割技术概述之背景与深度网络架构
- ffmpeg解码H.264视频数据,MFC播放视频
- C语言丨线性表(一):顺序表
- NAS与SAN架构:如何比较这两个存储系统
- 一点桌面计算机为什么打开方式,电脑默认软件打开方式 电脑上默认打开方式在哪设置...
- mysql查询有什么意义_mysql分页查询有什么作用
- Inverting Visual Representations with Convolutional Networks
- 墨者学院—网络安全篇3
- 《企业管理学》管理理论的产生于发展知识点总结
- 用JavaScript写的贪吃蛇游戏(很简单,很详细)
- L13 ansible 基础应用与常见模块
- windows10下装pytorch简单步骤和中遇见的一些问题
- 136 137 260只出现一次的数字【我亦无他唯手熟尔】
- VMMECH007_Thermal Stress in a Bar with Temperature Dependent Conductivity
- 获取当前日期的三个月前的日期
- 【不看即后悔系列】学习的真相及方法【建议收藏】
- 【C++代码】约瑟夫环问题:0,1,……,n-1这n个数字排成一个圆圈,从数字0开始,每次从这个圆圈里删除第m个数字。求出这个圆圈里剩下的最后一个数字。
- buildroot学习(十)——at91sam9g45软件平台更新
- 默认连接电脑的模式为MTP