服务器又中毒了,得治一治!
今年5月20日左右,第一次从 kswapd0 占用这系统的资源,I/O 持续过高且极其消耗内存中发现服务器被植入了挖矿病毒。
处理了以后,直到今天8月3日,htop/top + crontab -l 再次发现另外一个账号出现类似异常。
其实,我们只要把 kswapd0、 .X25-unix 直接谷歌,不难发现其实这就是一个挖矿的病毒,再认真看一下它植入的这些代码,基本就可以确定它就是腾讯安全威胁情报中心曾经提到的国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。
腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于 2018 年被发现,其主要特征为通过 SSH 爆破攻击目标系统,同时传播基于 Perl 的 Shellbot 和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台 Linux 服务器感染,影响上万家企业。
此次攻击传播的母体文件为 dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放 shell 脚本启动对应二进制程序,kswapd0 负责进行门罗币挖矿,tsm32、tsm64 负责继续 SSH 爆破攻击传播病毒。
亡命徒(Outlaw)僵尸网络之前通过利用 Shellshock 漏洞进行分发,因此被命名为 "Shellbot"。Shellbot 利用物联网(IoT)设备和 Linux 服务器上的常见命令注入漏洞进行感染。Shellshock 漏洞 (CVE-2014-7169) 是2014年在 Bash command shell 中发现的一个严重的漏洞,大多数 Linux 发行版通常会使用到该功能,攻击者可以在这些受影响的 Linux 服务器上远程执行代码。
来源:《亡命徒(Outlaw)僵尸网络感染约2万台 Linux 服务器,腾讯安全提醒企业及时清除》
安全建议
建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
- 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0*/.configrc/a/kswapd0md5: 84945e9ea1950be3e870b798bd7c7559/tmp/*-unix/.rsync/c/tsm64md5: 4adb78770e06f8b257f77f555bf28065/tmp/*-unix/.rsync/c/tsm32md5: 10ea65f54f719bffcc0ae2cde450cb7a
- 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd/b/sync/c/aptitude
- 如果发现存在通过在授权的 ssh 密钥文件中安装 ssh 指纹来设置 ssh 后门,请删除:
$ cat .ssh/authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
生信服务器 | 防火墙基本配置
2021-07-26
我给自己做了一个导航网站
2021-07-17
生信服务器 | 更改 CentOS/RHEL 6/7 中的时区
2021-05-27
生信服务器 | Linux 时间戳和标准时间
2021-01-21
生信服务器入门级基本设置
2020-06-05
本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
服务器又中毒了,得治一治!相关推荐
- 服务器又中毒了,root密码还被篡改了、忘记root密码、免密码连接,私钥连接
服务器又中毒了,root密码还被篡改了 发现ssh 都连不上,我的好几台虚拟机的密码都很简单,最近经常中毒,我又基本不开防火墙的,可能是什么端口被入侵了 密码被改了还有一种连接方式,使用私钥连接 条件 ...
- 服务器中毒的原因有哪些?为什么服务器会中毒?
为什么服务器会中毒?服务器中毒的原因有哪些?小编今天就带大家来了解一下为什么服务器会中毒. 源程序漏洞 源程序漏洞的严重性:目前互联网中有80%以上的网站程序都来自网络下载:这样建站会省去很多的时间, ...
- 服务器集体中毒事件 xmrig trace 挖矿病毒
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于"挖矿",随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现.事前我们 ...
- 腾讯云如何判断服务器是否中毒以及如何预防中毒解决方法
1.浏览器搜索腾讯云官网 2.点击登陆界面 3.选择自己的登陆方式 4.然后点击控制台 5.选择云服务器控制台或轻量型服务器控制台 6.选择自己服务器所在地域 7.如何查看是否中病毒 上图为轻量型服务 ...
- 苹果手机中病毒显示无服务器,苹果手机中毒五大特征!一般认为这是正常现象,你的iPhone中了吗...
随着如今移动手机的普及,基本每个人都会拥有一台自己的手机,而在众多国内外的手机品牌当中,最受到人们追捧的品牌便是苹果手机,苹果手机不仅是因为其具有独特的外观,和高效的性能之外,更有着安全性最强大的标签 ...
- 服务器中毒怎么办,如何防御?
数据中心在为用户提供服务器空间和网络服务时,往往也会为用户提供日常维护服务.用户在服务器运行使用中会突然就发现自己的服务器存在中毒和疑似中毒的现象,那么如何进行中毒行为的排查和清理. 为用户提供日常维 ...
- 服务器中毒的原因以及如何预防
如今租用服务器的用户越来越多,但很多朋友在使用服务器的过程当中,可能会突然就发现自己的服务器存在"中毒".那么遇到这种情况应该怎么排查和解决呢? 为了让大家更好.更安全的使用服务器 ...
- 导致服务器“中毒”的几种行为
**数据中心在为用户提供服务器空间和网络服务时,往往也会为用户提供日常维护服务.用户在服务器运行使用中会突然就发现自己的服务器存在"中毒"和疑似"中毒"的现象. ...
- 服务器中毒怎么办,如何预防
服务器中毒是一件很常见的事,也是令服务器管理员十分烦心的事.平时应注意加强防病毒意识,提前做好预防工作. 导致服务器中毒的原因及解决预防方法: 1)服务器密码设置太简单 很多用户在租用服务器时会嫌密码 ...
最新文章
- C#调用系统默认打印机打印文字和图片
- U3D physics总结
- 【线性规划与网络流24题】孤岛营救问题 分层图
- Activiti学习(二)数据表结构
- SSM 整合 4:Spring IoC 容器基于的两个重要接口 BeanFactory 和 ApplicationContext
- Oracle 11g Release 1 (11.1) Oracle 本文索引的四种类型
- 跨站脚本攻击之反射型XSS漏洞【转载】
- 多线程访问DataTable
- python中多条件语句_Python中的带条件语句
- diss范式:明星AI公司秋招被爆大规模毁约;CEO戴文渊:责任在我有错认罚
- python字符串常用函数-Python字符串常用函数详解
- RabbitMQ消息持久化总结
- 图形验证码知识点整理 Object.prototype.toString.call()等
- 鸿蒙系统简介ppt,鸿蒙来了!华为到底采用的是什么逆天的研发体系?500页PPT详解...
- 618|Python购书攻略
- 彩色图rgb转换成灰色图
- 大学生创新创业大赛案例_七大学生创新创业大赛样本示例
- 今日头条面试——测试工程师
- 开放式耳机新巅峰!南卡OE Pro兼备澎湃音质、舒适佩戴、创新设计
- bootstrap4--概述与页面创建
热门文章
- 跟刘强东、雷军等大佬聊天后,我总结了:如何结交牛人,跟大咖做朋友!
- CSCNN:新一代京东电商广告排序模型
- 女朋友羞辱我一线程序员35岁后没出路?该回二线发展!我没忍住,吼她两句!我错了吗?...
- 查询增速200倍!看金融业数据库架构如何在蜕变中逆袭
- 远程办公指南 | 齐心守护健康,共倡远程协同
- 一些能说到点子上的课程
- OpenCV~PS效果
- 流程控制关键字——跳转结构
- 编译原理上机实习c语言小子集编译程序的实现报告,编译原理上机实习指导书(2015-11修改).pdf...
- scanner怎样回到文件开头_怎么申请专利?个人怎样申请国家专利?