挖矿病毒的发现与查杀
本帖最后由 tony1990 于 2020-12-11 15:33 编辑一、运维部报故障
故障现象:
使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。
在检测异常进程中,未发现CPU使用率异常的进程(使用 top、htop 以及 ps -aux 进行检查),于是报障。
二、检测过程:
1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载"procps-3.2.8"并编译,恢复top等系列命令
5.检测进程是否异常
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处
7.排查ssh登录日志
8.把ssh登录切换成秘钥登录
9.重启服务器,检查是否进程是否正常
三、排查处理过程
使用htop查看进程是否异常:
发现 /usr/bin/pamdicks 此文件运行CPU达到100%。
查看定时任务是否存在文件:
crontab -l
清空定时任务并且分析木马脚本:
crontab -r
分析木马脚本:
第6行-第7行 给予权限并运行 pamdicks。
第12行-第20行 判断是Ubuntu系统还是Centos系统,并且安装软件
第22行-第28行 查看进程并终止进程
第29行-第34行 强制关闭进程
第35行-第48行 给木马文件加锁,禁止移动木马文件
第50行-第66行 远程下载木马文件
添加hosts防止二次下载:
echo -e "\n0.0.0.0 a.powreofwish.com" >> /etc/hosts
检查进程是否正常:
查看异常进程的进程号
关闭进程:
kill -9 548
删除挖矿木马脚本应用:
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
pkill pamdicks
rm -rf /usr/bin/pamdicks
rm -rf /var/lib/cc
rm -rf /tmp/kdevtmpfsi
重启服务器,并且检测进程是否异常
最后服务器恢复正常。
挖矿病毒源码是加过壳的,正在解析中。 现在利用病毒控制PC挖矿只能靠数量来提升收益的,个人电脑的挖矿算力远不如专业矿机的算力,所以做这挖矿病毒的人都会想办法让自己的病毒大量传播 大佬,我小白一枚,弱弱的问个问题。
思路大体了解,大概也能看懂一些。
至少要删除pkill pamdicks这个东西,
但您在帖子里的这些 是从哪看出来的。
cc、pc、xr、.....kdevtmpfsi 。
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
rm -rf /usr/bin/pamdicks
rm -rf /var/lib/cc
rm -rf /tmp/kdevtmpfsi
之前架设过一个游戏,运行一段时间就自动运行挖矿程序,弄的服务都CPU都红,想用这个方法找找是那个程序, 上次看见火绒安全也发布了一个挖矿病毒的帖子,这样挖矿的比特币收益很高吗? 没给你加定时任务? 看着很厉害的样子 小白的我 看不懂{:1_908:} 哈_喽 发表于 2020-12-11 15:32
上次看见火绒安全也发布了一个挖矿病毒的帖子,这样挖矿的比特币收益很高吗?
以我的认识和经验,一般挖矿都是靠数量庞大的肉鸡,来提高收益 这样的定时任务只怕是小儿科吧,或者他的脚本本来就不怎么样,我之前碰到的还有好多守护进程,你只要一结束进程,立马潜伏起来的脚本继续远程下载 fht000 发表于 2020-12-11 15:38
这样的定时任务只怕是小儿科吧,或者他的脚本本来就不怎么样,我之前碰到的还有好多守护进程,你只要一结束 ...
这个问题解决是个小儿科,不麻烦,就是源码,我在看,是经过加壳的。我原来遇到的僵尸病毒,比这个复杂的多,几乎把整个系统的配置文件都替换了 小白我学习了!! 一般挖矿都是靠数量庞大的肉鸡,来提高收益