挖矿病毒分析(centos7)

因为我在工作中多次被各种挖矿病毒中过,这里是我遇到的病毒和大神们的解决方法。

服务器挖病毒后,最基本的特点就是CPU占用率瞬间飙升。这时候可以使用top命令查看是否有异常进程。当然,一些挖矿病毒稍微高级一些。 ,比如它的进程是隐藏的,可以通过命令或使用命令查看。

挖矿病毒的特点:

1、文件/定时任务删除失败——-文件受只读属性保护

2、文件/定时任务被删除又出现—–系统文件替换/下载过程残留

3、病毒进程刚刚被删除然后拉起来—————恶意进程守护进程

4、主机严重卡死,但是找不到挖矿进程———-系统命令被劫持

5、主机清理一段时间后出现病毒———ssh&漏洞再次入侵

图片[1]-挖矿病毒分析(centos7)-唐朝资源网

当病毒在服务器被挖掘时,很可能系统命令会被黑客替换掉,这样当系统命令被执行时,就有可能执行被服务器注入的恶意代码黑客。程序,所以最好提前在服务器上安装一个。

1、

比较有名的挖矿蠕虫,攻击方式是通过redis感染服务器,如果redis端口默认6379暴露在公网上,并且没有设置客户端连接密码认证,很容易被感染。这种病毒被分为不同的级别。幸运的是,我遇到的比较简单。解决方法如下

(1)先过顶。

(2)删除,可能文件是只读的,不能删除,需要通过文件名查看文件的属性,一般属性是-a或者-i,然后执行-a /-i 更改文件属性后可以删除文件名

(3)杀死相关进程

2、rshim

一种挖矿病毒,常见的是以root用户启动redis服务,redis使用默认端口,导致6379端口被攻击。解决方案类似。查找文件和进程时,发现用户隐藏执行,在主目录下。还有一个额外的 hilde 目录,它为免密码登录创建一个公钥。需要删除整个hilde目录,然后执行-r hilde删除用户

图不全,随便看看。

3、[扫描]

不清楚它是什么病毒。网上说也被redis攻击了。由于此过程,第二个 CPU 已满。解决方法与上述类似。也是先检查路径,再删除文件,再杀掉进程。通过查看它的文件,我们可以看到如下图所示的代码。

图片[2]-挖矿病毒分析(centos7)-唐朝资源网

通过其脚本查看redis-cli -h….相关代码,查看进程,发现有redis-cli进程。具体是什么功能,这里没研究,只知道需要删除脚本,杀死进程。

然后在查看磁盘空间的时候,发现根目录的磁盘使用不正常。推测应该是脚本恶意生成的隐藏文件。我去根目录用ls -a查看,发现还有很多文件,如下图。

它们都是 .r.* 格式的文件。查了一下,发现这个类型的文件有40000多个。我果断删除了它们。删除这些文件后,我检查了磁盘使用情况,正常。

4、

图片[3]-挖矿病毒分析(centos7)-唐朝资源网

这是我之前工作中遇到的挖矿木马,第一次遇到。作为证据

是的,可以看出这个木马特别凶猛。 8核CPU瞬间爆满,进程不断启动,服务器不断重启,运行起来非常吃力。解决方法是删除原文件,创建一个空头文件,然后用系统锁定不被修改。命令如下。

rm -rf /usr/bin/ /bin/

触摸 /usr/bin/ /bin/

+i /usr/bin/ /bin/

然后杀死进程就可以了。

这次服务器被黑了,植入了一个密钥文件,让入侵者不用密码就可以登录服务器。我在redis中看到了一个很奇怪的key,它的值表示一个定时任务,就是通过curl下载某个sh脚本并执行。在网上看到一个博主,总结的很好。其原因如下。

1.redis没有采取任何安全措施,直接暴露在公网,任何redis客户端都可以直接连接。

2.被恶意连接后,在他的机器上生成ssh key,然后设置为redis,最后使用redis命令dump默认的RDB。 rdb文件修改为,然后将文件的目录设置为/root/.ssh。

3.这样很危险,攻击者可以直接ssh到你的linux主机,然后,root账号,为所欲为。被开采的情况并不少见。

建议:Redis一定要设置强密码,更改端口,尽量不要对外开放端口。

不要以为外网redis端口被阻塞就没有问题。只要内网有机器感染了病毒,就可以继续感染。

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片