搜索到
1
篇与
的结果
-
查杀kswapd0挖矿木马 记录下挖矿病毒服务器是物理机,所有端口都是暴露开放的。服务器挖矿 导致 负载cpu内存等异常,通过排查确定是 kswapd0 挖矿木马排查过程如下:top -cPID: 19980 和 10630 cpu使用率最多进程PID:10630 ./masscan 为端口扫描工具进程PID:19980 ./kswapd0 为木马挖矿脚本通过PID进程查询文件路径 #ls -la /proc/[PID]/exe ls -la /proc/19980/exe # [root@localhost ~]# ls -la /proc/19980/exe # lrwxrwxrwx 1 root root 0 11月 13 22:42 /proc/19980/exe -> /root/.configrc/a/kswapd0 查看文件编辑时间 stat kswapd0 呵,还是新鲜热乎的呢。猜测是脚本自动修改执行根据kswapd0进程的PID查找相关的网络连接netstat -natupl | grep [PID]怀疑是自动执行,查询下定时任务[root@localhost a]# /var/spool/cron/root -bash: /var/spool/cron/root: 权限不够 [root@localhost a]# crontab -l 1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1 @reboot /root/.configrc/a/upd>/dev/null 2>&1 5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1 @reboot /root/.configrc/b/sync>/dev/null 2>&1 0 0 */3 * * /tmp/.X206-unix/.rsync/c/aptitude>/dev/null 2>&1定位到/tmp/.X206-unix/.rsync/ 目录删除kill掉病毒文件进程kill -9 [PID]查询相应资料说该病毒 会生成/root/.ssh公钥文件进行连接操作等步骤查看病毒所使用的ssh密钥文件找到删除即可病毒结构经过网上查证,该病毒种类繁多,文件位置基本不一样/root/.configrc/* 病毒所在目录 /root/.ssh/病毒公钥 /tmp/.X25-unix/.rsync/* 病毒运行缓存文件 /tmp/.X25-unix/dota3.tar.gz 病毒压缩包 /root/.configrc/a/kswapd0 病毒主程序 ==========病毒相关计划任务========== 1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1 @reboot /root/.configrc/a/upd>/dev/null 2>&1 5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1 @reboot /root/.configrc/b/sync>/dev/null 2>&1 0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1总结一下大致的处置流程:1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e2.删除/root/ 目录下的.configrc病毒文件夹3.删除/root/ 目录下的.ssh病毒公钥文件夹4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。附上相关链接:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=148169http://www.hackdig.com/12/hack-243523.htm
