記一次linux挖礦木馬應急

2022-04-30 03:42:08 字數 378 閱讀 7635

1.拿到了乙個靶機,top檢查,發現有乙個程序cpu利用率一直在百分之百,經過特徵對比,發現是挖礦木馬

2.利用 ll /proc/埠id/exe 定位木馬檔案所在位置

3.rm -rf 刪除掉木馬檔案

4.原本以為搞定了,過了一會發現還是有利用率百分之百情況

5.檢視 cat  /var/spool/cron 發現有乙個定時任務,wget乙個指令碼 十分鐘執行一次

6,檢視指令碼檔案 發現他在做繫結資源檔案,然後建立木馬,執行,並刪除

7. ps -aux | grep 程序id 鎖定位置,進入檔案目錄位置,發現沒有這個檔案

8.然後氣得我直接把  /usr/local/lib 裡面的檔案全刪掉了,記過gg了

9.待定補充

記一次linux遭遇挖礦病毒之旅

開發那邊構建jenkins專案發現構建失敗,我去排查發現,git拉取不了 我一開始以為是ssh沒許可權,公鑰失效了,後來發現22埠連線不上。後來我試著ssh連線別的機器發現報同樣的問題,經過網上搜尋這種問題的原因,ssh服務沒啟動,host.deny,防火牆規則,甚至把openssh服務解除安裝了重...

記錄一次kworkerds挖礦木馬的解決

top檢視程序資訊,發現有幾個名為kworkerds的程序,即為挖礦程序 使用crontab l命令檢視系統定時任務,發現了它的定時任務 pastebin是任意上傳分享的平台,攻擊者藉此實現匿名,於是訪問想看看指令碼是什麼樣的,可是好像被刪掉了,有點小遺憾。進入 var spool cron將對應的...

記一次linux伺服器入侵應急響應

近日接到客戶求助,他們收到託管電信機房的資訊,通知檢測到他們的一台伺服器有對外傳送攻擊流量的行為。希望我們能協助排查問題。情況緊急,首先要確認安全事件的真實性。經過和伺服器運維人員溝通,了解到業務只在內網應用,但伺服器竟然放開到公網了,能在公網直接ping通,且開放了22遠端埠。從這點基本可以確認伺...