记一次ubuntu虚拟机被挖矿木马攻击的过程
事由:
今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现被挖矿木马攻击了。
定位
使用 top 查看:
top96058 root 20 0 5263372 60460 916 S 56.5 1.7 66:34.21 tsm
查看详细:
ps aux | grep tsm
root 96052 0.0 0.0 11552 88 ? S 11:14 0:00 timeout 3h ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 96053 0.0 0.0 12512 196 ? S 11:14 0:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 96058 43.7 1.7 5263372 60524 ? Sl 11:14 66:54 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
ubuntu 118586 0.0 0.0 11552 84 ? S 13:22 0:00 timeout 3h ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
ubuntu 118587 0.0 0.0 12512 652 ? S 13:22 0:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
ubuntu 118592 13.3 1.0 5263336 37160 ? Sl 13:22 3:15 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
查看bash运行的程序:
ps -ef | grep bash
ubuntu 564 563 0 14:19 ? 00:00:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 1196 1195 0 14:19 ? 00:00:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 5988 5987 0 May18 pts/2 00:00:01 /bin/bash
ubuntu 55500 55499 0 Apr23 pts/2 00:00:00 -bash
ubuntu 75581 1 0 May13 ? 00:00:03 /bin/bash ./go
root 103117 1 0 May03 ? 00:00:04 /bin/bash ./go
注:2个用户均有运行。
定位到/tmp/.X25-unix
目录,文件如下:
# ls -la
total 5220
drwxr-xr-x 3 root root 4096 May 3 23:44 .
drwxrwxrwt 11 root root 4096 Jun 4 13:40 ..
-rw-r--r-- 1 root root 5332768 May 3 23:43 dota3.tar.gz
drwxr-xr-x 5 ubuntu ubuntu 4096 Apr 9 20:33 .rsync
.rsync
目录分析见参考资料。
查看up.txt文件(无意间在tmp目录发现才查看的):
cat /tmp/up.txt
root 123456 // 本机账号和密码
定时任务
查看所有用户的定时任务。
# cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
* */23 * * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1* */23 * * * /home/ubuntu/.configrc/a/upd>/dev/null 2>&1
@reboot /home/ubuntu/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/ubuntu/.configrc/b/sync>/dev/null 2>&1
@reboot /home/ubuntu/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
no crontab for sshd
no crontab for statd
no crontab for mosquitto
2个用户的home目录下均有,/root/.configrc/
和/home/ubuntu/.configrc
。
使用crontab -l -u root
和crontab -l -u ubuntu
确认是否这2个用户。清理:
crontab -r -u root
crontab -r -u ubuntu
再执行cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
查看,已无。
干掉进程删除文件
先杀死进程:
kill -9 12889
但立刻又启动了。失败。
删除目录:
# rm .X25-unix/ -rf
停止 bash 启动的程序:
# kill -9 564 1196 75581 103117
再次执行ps -ef | grep bash
查看,无异常。
查看 tsm 进程并杀死(此时无 bash 启动的./go
信息):
#ps aux | grep tsm
root 1206 0.0 0.2 4320576 7072 ? Sl 14:19 0:00 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /tmp/.X25-unix/.rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 2360 0.0 0.0 14224 956 pts/2 S+ 14:23 0:00 grep --color=auto tsm
ubuntu 130134 0.3 0.1 1222452 4608 ? Sl 14:18 0:01 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
# kill -9 1206 130134
再次执行ps aux | grep tsm
确认,无异常。过几分钟后再查,无异常。
清理残留
在查看定时任务时,还发现存在/root/.configrc/
和/home/ubuntu/.configrc
,查看文件:
# ll
total 24
drwxr-xr-x 4 root root 4096 May 3 23:44 ./
drwx------ 8 root root 4096 May 3 23:44 ../
drwxr-xr-x 2 root root 4096 May 3 23:44 a/
drwxr-xr-x 2 root root 4096 May 3 23:44 b/
-rw-r--r-- 1 root root 251 May 3 23:44 cron.d
-rw-r--r-- 1 root root 16 May 3 23:44 dir2.dir
从上文的dota3.tar.gz
文件时间看,是5月3号更新的,与这里保持一致。
删除之:
# rm -rf /root/.configrc/
# rm -rf /home/ubuntu/.configrc
观察/root/
和/home/ubuntu/
的隐藏文件目录,暂无异常。
前面查看有dota3.tar.gz
压缩包,当前再看看有无
# find / -name "dota3.tar.gz"
/var/tmp/dota3.tar.gz
查看其时间:
ls /var/tmp/dota3.tar.gz -lh
-rwx------ 1 ubuntu ubuntu 5.1M May 13 02:03 /var/tmp/dota3.tar.gz
5月13号凌晨下载的。
删除之:
rm -rf /var/tmp/dota3.tar.gz
清理 ssh
从参考资料知,此攻击是通过弱 ssh 口令登陆系统的,查看2个用户的ssh文件:
# ls /root/.ssh/ -la
total 16
drwx------ 2 root root 4096 May 8 12:49 ./
drwx------ 7 root root 4096 Jun 4 14:33 ../
-rw------- 1 root root 389 May 3 23:44 authorized_keys
-rw-r--r-- 1 root root 222 May 8 12:49 known_hosts#ls /home/ubuntu/.ssh/ -la
total 16
drwx------ 2 ubuntu ubuntu 4096 May 15 23:53 .
drwxr-xr-x 31 ubuntu ubuntu 4096 Jun 4 14:33 ..
-rw------- 1 ubuntu ubuntu 389 May 13 02:24 authorized_keys
-rw-r--r-- 1 ubuntu ubuntu 222 May 15 23:53 known_hosts
从时间看,root 用户是5月3号,普通用户是5月13号,应该是当时扫描到弱口令登陆,然后修改 ssh 配置,大概浏览内容,是一样的。
直接把.ssh
目录删除:
# rm -rf /root/.ssh
# rm -rf /home/ubuntu/.ssh/
后续
完成上述操作后,重启,重启前再次执行前面的命令确认进程或文件是否还存在。
重启后一切正常。
暂时不改密码,待过几天看看。
其它
观察最近一千条历史命令,未发现异常。
难得一次亲历,把木马的压缩包保存起来,有空再研究,学习一下。
参考:
https://blog.csdn.net/whatday/article/details/103761081
https://cloud.tencent.com/developer/article/1447419
https://blog.csdn.net/yisangwu/article/details/106292958
记一次ubuntu虚拟机被挖矿木马攻击的过程相关推荐
- 【挖矿木马】记一次被挖矿木马攻击的过程(Redis被攻击)
不会吧,不会吧,不会2020年了还有人中挖矿木马吧. 0x01.事情经过: 关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过 ...
- 记一次服务器被挖矿木马攻击的经历
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...
- 网页java挂挖矿_记一次服务器被植入挖矿脚本的解决过程
记一次服务器被植入挖矿脚本的解决过程 删除挖矿脚本和对应的进程 找出并删除对应挖矿脚本文件 找出进程pid,并且kill掉 无法kill掉的是原进程的守护进程,原进程不在它也会自动关闭,所以不用管它 ...
- net start mysql 服务名无效_记一次服务器被植入挖矿木马cpu飙升200%解决过程
来自:开源中国,作者:我叫刘半仙 链接:https://my.oschina.net/liughDevelop/blog/1786631 " 某日,正在午休中,突然一则噩耗从前线传来:网站 ...
- 清除linux挖矿木马[crypto]的过程
朋友反馈,阿里云管控台报警,cpu占用100%,瞬间想到挖矿木马(因为本驴之前中过招,排查过程点开本驴主页微头条寻找). 排查过程如下: 1.top命令查看进程占用情况,没有发现可疑进程,而且cpu的 ...
- 服务器被植入挖矿木马的心酸过程
转自 https://juejin.im/post/5aa0cc476fb9a028d82b5695 最近打开服务变得很慢,然后 CPU,内存占用有达到了100%,打开网站都很慢,这个肯定很反常的,平 ...
- Ubuntu虚拟机中VCS安装和启动过程中遇到的问题总结
上篇文件写完后,很多人留言说VCS启动有些问题在文中没有解决,这里总结汇总了下从VCS安装好以后,临时license授权到使用VCS成功运行并用verdi dump波形这个过程中可能会遇到的一些问题及 ...
- 一次挖矿木马病毒排查过程
兰眼发现该机器与挖矿网站有通信.通知用户进行查杀.电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件. 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现. 但 ...
- Linux Ubuntu 虚拟机不能连网、Linux Ubuntu 虚拟机怎么连网
主机与虚拟机文件传递移步:https://blog.csdn.net/qq_38786209/article/details/79984879 notice:!!! 虚拟机不能上网,可能会有很多原因, ...
最新文章
- codeforces A. Jeff and Digits 解题报告
- Java远程发送表单信息,java – 从html表单读取POST数据发送到serversocket
- RS(纠删码)技术浅析及Python实现
- 洛谷 P1821 [USACO07FEB]银牛派对Silver Cow Party
- PHP使用PDO方式的经验总结:连接 增删改查
- Jquery加载默认值
- Context 之我见
- leetcode力扣406. 根据身高重建队列
- UIImageView contentModel
- Docker下部署oracle10g
- 什么是锁?看完你就明白了
- 阅读器android工程,一种简单的纯粹——全球首款 EINK屏 安卓手机 BOOX E43 工程机测试体验...
- 卡贴机被“全面封杀”?苹果关闭有锁iPhone的ICCID激活服务
- easyexcel自定义拦截器,实现自定义单元格样式
- 2022年餐饮行业的10大必看趋势
- 花与剑尚未获取服务器信息,花与剑澄心无忆攻略,触发条件及完成方式介绍
- Android Notification取消声音 取消弹出
- 工具人实锤!我用java中的文件IO流帮同事处理了足足18M的文本数据,泪目(一)
- Proteus 8 Source Code 字体设置问题 光标于选中的字不对应
- 线上展厅视觉奇观 广州商迪