服务器又中毒了,得治一治!
今年5月20日左右,第一次从 kswapd0 占用这系统的资源,I/O 持续过高且极其消耗内存中发现服务器被植入了挖矿病毒。
处理了以后,直到今天8月3日,htop/top + crontab -l 再次发现另外一个账号出现类似异常。
其实,我们只要把 kswapd0、 .X25-unix 直接谷歌,不难发现其实这就是一个挖矿的病毒,再认真看一下它植入的这些代码,基本就可以确定它就是腾讯安全威胁情报中心曾经提到的国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。
腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于 2018 年被发现,其主要特征为通过 SSH 爆破攻击目标系统,同时传播基于 Perl 的 Shellbot 和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台 Linux 服务器感染,影响上万家企业。
此次攻击传播的母体文件为 dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放 shell 脚本启动对应二进制程序,kswapd0 负责进行门罗币挖矿,tsm32、tsm64 负责继续 SSH 爆破攻击传播病毒。
亡命徒(Outlaw)僵尸网络之前通过利用 Shellshock 漏洞进行分发,因此被命名为 "Shellbot"。Shellbot 利用物联网(IoT)设备和 Linux 服务器上的常见命令注入漏洞进行感染。Shellshock 漏洞 (CVE-2014-7169) 是2014年在 Bash command shell 中发现的一个严重的漏洞,大多数 Linux 发行版通常会使用到该功能,攻击者可以在这些受影响的 Linux 服务器上远程执行代码。
来源:《亡命徒(Outlaw)僵尸网络感染约2万台 Linux 服务器,腾讯安全提醒企业及时清除》
安全建议
建议企业 Linux 服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除:
- 删除以下文件,杀死对应进程:
/tmp/*-unix/.rsync/a/kswapd0*/.configrc/a/kswapd0md5: 84945e9ea1950be3e870b798bd7c7559/tmp/*-unix/.rsync/c/tsm64md5: 4adb78770e06f8b257f77f555bf28065/tmp/*-unix/.rsync/c/tsm32md5: 10ea65f54f719bffcc0ae2cde450cb7a
- 检查 cron.d 中是否存在包含以下内容的定时任务,如有进行删除:
/a/upd/b/sync/c/aptitude
- 如果发现存在通过在授权的 ssh 密钥文件中安装 ssh 指纹来设置 ssh 后门,请删除:
$ cat .ssh/authorized_keysssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
生信服务器 | 防火墙基本配置
2021-07-26
我给自己做了一个导航网站
2021-07-17
生信服务器 | 更改 CentOS/RHEL 6/7 中的时区
2021-05-27
生信服务器 | Linux 时间戳和标准时间
2021-01-21
生信服务器入门级基本设置
2020-06-05
本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
服务器又中毒了,得治一治!相关推荐
- 服务器又中毒了,root密码还被篡改了、忘记root密码、免密码连接,私钥连接
服务器又中毒了,root密码还被篡改了 发现ssh 都连不上,我的好几台虚拟机的密码都很简单,最近经常中毒,我又基本不开防火墙的,可能是什么端口被入侵了 密码被改了还有一种连接方式,使用私钥连接 条件 ...
- 服务器中毒的原因有哪些?为什么服务器会中毒?
为什么服务器会中毒?服务器中毒的原因有哪些?小编今天就带大家来了解一下为什么服务器会中毒. 源程序漏洞 源程序漏洞的严重性:目前互联网中有80%以上的网站程序都来自网络下载:这样建站会省去很多的时间, ...
- 服务器集体中毒事件 xmrig trace 挖矿病毒
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于"挖矿",随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现.事前我们 ...
- 腾讯云如何判断服务器是否中毒以及如何预防中毒解决方法
1.浏览器搜索腾讯云官网 2.点击登陆界面 3.选择自己的登陆方式 4.然后点击控制台 5.选择云服务器控制台或轻量型服务器控制台 6.选择自己服务器所在地域 7.如何查看是否中病毒 上图为轻量型服务 ...
- 苹果手机中病毒显示无服务器,苹果手机中毒五大特征!一般认为这是正常现象,你的iPhone中了吗...
随着如今移动手机的普及,基本每个人都会拥有一台自己的手机,而在众多国内外的手机品牌当中,最受到人们追捧的品牌便是苹果手机,苹果手机不仅是因为其具有独特的外观,和高效的性能之外,更有着安全性最强大的标签 ...
- 服务器中毒怎么办,如何防御?
数据中心在为用户提供服务器空间和网络服务时,往往也会为用户提供日常维护服务.用户在服务器运行使用中会突然就发现自己的服务器存在中毒和疑似中毒的现象,那么如何进行中毒行为的排查和清理. 为用户提供日常维 ...
- 服务器中毒的原因以及如何预防
如今租用服务器的用户越来越多,但很多朋友在使用服务器的过程当中,可能会突然就发现自己的服务器存在"中毒".那么遇到这种情况应该怎么排查和解决呢? 为了让大家更好.更安全的使用服务器 ...
- 导致服务器“中毒”的几种行为
**数据中心在为用户提供服务器空间和网络服务时,往往也会为用户提供日常维护服务.用户在服务器运行使用中会突然就发现自己的服务器存在"中毒"和疑似"中毒"的现象. ...
- 服务器中毒怎么办,如何预防
服务器中毒是一件很常见的事,也是令服务器管理员十分烦心的事.平时应注意加强防病毒意识,提前做好预防工作. 导致服务器中毒的原因及解决预防方法: 1)服务器密码设置太简单 很多用户在租用服务器时会嫌密码 ...
最新文章
- 从视频到语言: 视频标题生成与描述研究综述
- Y项目逸事之中国人设计的全球模板
- 容器云之K8s自动化安装方式的选择
- 【SD】自定义销售订单审批状态
- 2014蓝桥杯-B-省赛-五-圆周率
- option columns.render 渲染列(1) 添加checkbox
- nodejs操作sqlserver数据_nodejs基于mssql模块连接sqlserver数据库的简单封装操作示例...
- 电力企业信息化系统主要报表展示
- Python基础——@staticmethod与@classmethod
- ssh连接远程服务器
- 黎曼的zeta函数(1)
- 开口式霍尔电流传感器在数据中心直流配电改造的应用
- C Primer Plus 第十二章 课后答案
- 融资难度加大 印度科技初创企业发展遭遇困境
- mysql范围查询如何建索引_MySQL索引(二):建索引的原则
- 自然语言词向量模型:Glove和Bert
- EntityUtils MapStruct BeanCopier 数据实体类转换工具 DO BO VO DTO 附视频
- 辗转相除法 原理 Java实现
- Matlab AppDesigner编程教程第1章——面向对象编程
- 上海工程技术大学计算机专硕,2017年上海工程技术大学硕士研究生调剂公告