轉 Linux exin程序挖礦病毒清理

2021-10-01 06:53:35 字數 2126 閱讀 8979

事出有因

徹底清理

後感事出有因

1 近期突然發現伺服器應用經常down,重啟防火牆重啟程式有一段時間正常

2 然後檢視系統top程序,發現有/bin/exin程序瘋狂占用cpu

檢視iptables防火牆資訊,發現防火牆被串改增加了很多未知位址的訪問。

檢視crontab 發現無數定時

檢視這個定時,發現這個果然跟這個程序有關係

發現了就清理就是,把這些指令碼全部清空,把crontab -r清理,本以為就ok了。

結果,一會兒伺服器應用又不正常,又down了。進來一看,exin程序死灰復燃。

開始了一段深挖的過程

挖挖挖。。挖的太快,清理的太快就沒有截圖,反正是在/etc/cron.*這些定時相關的中存在了很多正常伺服器中不會有的定時,比如(打個碼,免得別有用心的人也用來挖礦)。

他一直去檢測系統程序,沒有就會去網上下。

然後我就把這個指令碼給下下來。發現。。。奶奶的,改了系統這麼多地方,截一部分出來

其中一段:

其中另外一段。改動不少啊。

徹底清理

看著看著,也發現了其中的挖礦**

搜尋了一下,發現是門羅幣挖礦程式

檔名 xmrig-3.2.0-xenial-x64.tar.gz』

好吧,指令碼都有了,修改的地方也知道了。那就徹底rm咯。。**主要涉及檔案如下,我是全部rm -rf

lcf1="/dev/shm/swapfile"

lcf2="/bin/config.json"

lex="/bin/exin"

c1="/etc/cron.d/spool"

c2="/etc/crontab"

c3="/var/spool/cron/root"

c4="/etc/cron.hourly/agetty"

c5="/usr/bin/unattended-upgrades"

c6="/etc/crond"

td="/usr/local/includes"

shk="ssh-rsa aaaab3nzac1yc2eaaaada

結果發現刪不掉

研究了一下。發現,程式為了防止被刪竟然chattr加鎖。

了解一下了才知道用lsattr檢視檔案許可權

chattr 加減號去掉對應許可權後刪除。

比如這裡應該是chattr -ia exin即可執行rm -rf exin

後感回想為何會中毒。其實是因為自己把雲伺服器的入方向和出方向全放開導致的。導致有漏洞掃瞄的人能利用各種漏洞埠來植入病毒。

怎麼辦呢。許可權控制起來,阿里雲和華為雲的雲伺服器安全組都可以很好的控制出入訪問。因為我這個是特地人群訪問,所以,每個人上報ip全部加入 入方向許可權控制就可以控制了。但是感覺既然都限制了,就把iptables也重寫規則。雙重限制了一下,觀察了幾天,一切正常了。

挖礦程序如何處理

說明 挖礦程式一般有主程序和守護程序組成,有些還會通過crontab來啟動定時任務 排查過程 進入挖礦主程序的proc檔案下檢視程序基本資訊,可檢視到程序的執行路徑 cwd檔案 可執行程式所在的路徑 exe fd資料夾下會有網路相關的資訊,一般如此即可發現很多資訊 檢視crontab有無異常情況 檢...

秒殺kdevtmpfsi挖礦程序 殺不掉來砍我!

一 找到挖礦程式程序號,記憶體占用最高的就是最上面那個,可以看占用記憶體進行排查 top二 根據上面的程序號找父程式,這個程序普通kill關閉不掉,是因為父程序一直會將子程序啟動。需要殺掉父程序 systemctl status 程序號三 找到父程序後關掉active變色字型下面的程序,他會出多個程...

Python fork 守護程序《轉》

coding utf 8 import sys,os 將當前程序fork為乙個守護程序 注意 如果你的守護程序是由inetd啟動的,不要這樣做!inetd完成了 所有需要做的事情,包括重定向標準檔案描述符,需要做的事情只有 chdir 和 umask 了 def daemonize stdin de...