伺服器被植入挖礦病毒的處理

2021-08-19 01:49:04 字數 1898 閱讀 6724

伺服器被植入挖礦病毒的處理

故障描述:一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。

(同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵)。

經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為:system、wipefs、ps、cranberry

故障排查步驟:

檢視情況如下:

發現確實有乙個異常ip 180.235.138.183在與我司伺服器通訊,呼叫的程序是system

操作:斷開網路

將該ip加入到防火牆的reject名單中

系統負載超過90,程序是「system」

操作:kill掉該程序

再通過top去看,負載立刻降低

發現在/bin下面

操作:刪掉該檔案

/etc/init.d/sytem

/bin/ddus-uidgen

/etc/rc0-6相關的所有目錄下s0打頭的所有檔案,發現其它奇怪的二進位制檔案,一併刪除

/etc/rc0-6相關的所有目錄下acpidtd打頭的所有檔案,,發現其它奇怪的二進位制檔案,一併刪除

刪除  /tmp/gates.lod   ,並建立乙個許可權為000 的文字空檔案gates.lod

刪除 /tmp/moni.lod ,並建立乙個權權為000的文字空檔案moni.lod

查詢/bin /usr/sbin下所有檔案大小為1.2m的檔案,如果有,則說明被感染了,使用正常系統的檔案替換掉這些檔案。

本次查詢發現ps/ss/lsof/nestat四個命令被感染了,先刪掉這些命令,然後使用本地虛擬機器中的命令將其替換

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/dbsecurityspt ,

ls /usr/bin/bsd-port

ls /usr/bin/dpkgd

檢視後發現機器中有,全部刪掉,在該資料夾下建立乙個許可權為000的同名文字檔案。

/etc/crontab

本次檢視沒有。

/etc/rc.d/rc.local

開啟網路再用top命令監控30分鐘。

結果:網路再次被占用,共迴圈了三次,感染的程式為wipefs、ps、cranberry,採用相同排查方法排查。直到晚上7點00,監控半小時後沒有再**。

挖礦病毒的特點:

a)        進行挖礦計算,大量占用cpu。

b)        複製自己到/bin/下,建立服務/etc/init.d/下,在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。

c)        釋放子程式到 /bin/ddus-uidgen,建立服務/etc/init.d/acpidtd,並在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。

d)        修改/etc/resolv.conf, 可能是為其連線礦機服務的網域名稱做服務。

e)        修改/etc/crontab, 為自己建立定時任務,每天12點與0點開始執行。(所以你會發現第二天又啟動了)

f)         修改開機啟動項rc.local

g)        修改bin /etc/sbin中的一些系統檔案為相同大小的病毒檔案,

我們在修復的時候要做的就是遵循以下步驟

(一)  殺掉占用資源的程序

(二)  全域性查詢病毒檔案,刪掉

(三)  遮蔽掉異常ip

(四)  刪除掉病毒生成的異常檔案,並同名的許可權為000的文字檔案

(五)  刪掉病毒生成的開機啟動項

(六)  刪掉病毒生成的定時任務

(七)  修復病毒修改的ps / ss /lsof /netstat 等系統檔案

Centos 7 4 伺服器 被植入挖礦木馬

背景 最近由於在弄springboot shiro的redis session共享的問題,所以在伺服器上部署了redis,因為沒有太多的考慮所以沒有設定密碼。等到第二天的時候,發現redis外網無法訪問內網可以。檢視埠繫結情況 netstat antlp grep 6379 發現繫結沒有問題 檢視本...

雲伺服器的挖礦病毒。

朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100 我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill 9 pid瞬間消滅!垃圾病毒...

伺服器處理挖礦

使用top查詢程序 某個程序占用cpu或記憶體過分,查之 如 進入目錄,分析裡面的檔案,進入 etc下,分析如update類似的檔案。處理過程 chattr i 檔案 rm rf 檔案 如果是root使用者感染的病毒 vim etc selinux config 將selinux disabled改...