Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
问题描述
Linux进程
阿里云管理控制台看看CPU占用率
解决方案
top命令
获取进程号
查看进程运行的文件位置
ls 命令
ls -l proc/{进程号}/exe
sysupdate、networkservice都在/etc/目录下
到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。
病毒脚本分析
即update.sh:
1,在 /root/.ssh/authorized_keys里面,添加病毒投放者的公钥,保证其可以使用 SSH 登录到服务器。
2,下载
config.json (挖矿配置)、
sysupdate (XMR 挖矿软件)、
update.sh (病毒主脚本)、
networkservice(scanner扫描并入侵其他的主机)、
sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)
并保证他们以 root 权限运行。
3,kill其他的挖矿病毒(优秀。。。)。
................................
删除定时任务
rm /var/spool/cron/root 或crontab -r
杀掉进程
kill命令
kill -9 {进程号}
删除文件
文件无法直接删除,因为一般病毒会使用chattr +i命令。
我们使用
chattr -i sysupdate
rm -f sysupdate
chattr -i networkservice
rm -f networkservice
chattr -i sysguard
rm -f sysguard
chattr -i update.sh
rm -f update.sh
chattr -i config.json
rm -f config.json
对于/root/.ssh/authorized_keys文件可以选择删除或修复
不能确定病毒投放者的KEY时建议全部删除。
其他问题
如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要
1、修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
2、wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来
mv /bin/wge /bin/wget mv /bin/cur /bin/curl mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl
3、恢复防火墙配置
这里给出病毒脚本修改的iptables配置的语句,方便读者修复
iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload
如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。
参考文章
https://notes.daiyuhe.com/clear-linux-mining-virus/
https://blog.csdn.net/weixin_41762839/article/details/105113868
https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656
Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案相关推荐
- 记录一下今天发生的linux挖矿病毒之networkservice进程
一早上班打开电脑,习惯性的登陆服务器,没有往日的顺畅感,特别的慢,难道是因为我电脑不关机的原因? 此时我又打开了别的服务器,结果非常快的就上去了,这就不对劲了,马上却换到特别卡的那台服务器查看: 以为 ...
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- Linux挖矿病毒的清除与分析
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程. 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他. 使 ...
- Linux挖矿病毒事件应急响应演练(dbused木马)
文章目录 1 环境准备 2 攻击阶段 3 应急响应 3.1 检测阶段 3.2 根除阶段 1 环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.1 ...
- 清除Linux挖矿病毒
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的. top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%. 查了下资料,才发现是被人利用挖矿了. 不过不要急 ...
- linux挖矿病毒清除 .ssh3 /tmp/.
症状: cpu 飙高,如果有java 程序的话会发现程序每隔30分钟重新启动一次 用top命令查看 发现 /tmp/. 这个程序非常消耗cpu 病毒源码 病毒定时任务 清除过程: 1. 先停止定时任 ...
- Linux挖矿病毒排查(通过redis入侵服务器原理)
入侵原理 攻击者通过redis连接服务器在服务器上写入ssh免密登录的公钥 1.生成 ssh 公私钥文件, 写入待发送文件* ssh-keygen -t rsa -C "xxx"* ...
- linux 挖矿病毒解决(syst3md)
早上来了测试服务器哇哇的响,一猜肯定是有异常病毒了,登陆服务器查看果然有问题.内存直接占了2000多,直接执行kill -9 pid 干掉之后,自己又重新起来了.然后就排查 解决过程 1. 先看是否存 ...
最新文章
- OPencv java Mat 基本操作像素点(7)
- 搭建Cacti监控系统(一)-- 搭建LNMP 环境
- Vbs脚本编程简明教程之十
- 使用netty搭建一个简单的聊天室
- 【效率】超详细!手把手带你快速入门 GitHub!
- 主成分分析(PCA)算法,K-L变换 角度
- elasticsearch和mysql排序问题
- LeetCode 1442. 形成两个异或相等数组的三元组数目(前缀异或)
- java Exception 处理汇总
- 了解和熟悉数据库相关知识
- UDP SOCKET 两台电脑通信
- Php ui 3dmax,3dMAX 7-2020 3264位 SP1 sp2更新补丁合集及修复说明
- Vue入门基础(看狂神的视频,不是很推荐……)
- 居于U2000手机管理光猫,小区运营商FTTH光猫注册神器,MA5680T手机管理,自动添加光猫...
- c语言台阶,关于C语言跳台阶问题的解决方法
- 微软75亿美元收购ZeniMax及其旗下工作室;KPS同意21亿美元收购Garrett全部资产 | 美通企业日报...
- 进击的巨人 《兵王》6月28日启动新服【游戏资讯】
- 聚丙烯酸(PAA)修饰纳米Fe3O4四氧化三铁粒子|CNTs/Fe3O4/TiO2纳米复合材料(齐岳)
- python怎么输出坐标_使用Python实现图像标记点的坐标输出功能
- 0 前言 关于数学基础以及如何入门算法学习
热门文章
- recovery v1跟recovery v2的区别
- 线性表 c++语言代码,线性表C++的两种实现(顺序表示、单链表)
- escplise使用教程_eclipse使用教程
- 矩阵论思维导图_矩阵求导与矩阵微分
- Caused by: java.lang.NoClassDefFoundError: org/springframework/aop/TargetSource
- 向前的快捷键_枣院生活快捷键使用手册,你值得拥有
- unity mysql生成cexcel_【C#附源码】数据库文档生成工具支持(Excel+Html)
- flink 运行一段时间 内存溢出_Flink之运行时环境
- 线性Transformer应该不是你要等的那个模型
- 想快速发表CV/NLP论文?试试这几个方向!