xig,Linux恶意攻击脚本进程之一
首先说明一点,当你在搜索"xig"的时候,我可以肯定你的服务器已经被恶意攻击了,
原因很简单:绝大部分都是因为服务器连接密码设置过于简单。
回去改个密码再删删文件什么的基本就解决了,这种小白挖矿程序一般都只是占用服务器资源挖挖矿什么的,其他危害倒不严重。
由于之前我搜索“xig”的时候没遇到什么有针对性的文章,估计是已经很少有人犯这种错误了,但想想还是把细节写出来,引以为戒吧。
首先肯定是服务器运行发生了异常,具体表现为:
1、CPU占用极高,一般都是80%,服务器负载基本是100%了,出现大量僵尸进程、休眠进程
2、后台大量可疑进程,比如xig,xige,mservice什么的,反正一大堆,用ps -ef命令能有好几页
3、有这些东西在后台跑着,服务器反应肯定会被拖慢,所以服务器在处理自己发起的请求时,给出响应的时间要比平时长得多。
如果你在用宝塔面板管理着服务器的话,发现异常就简单得多了:
下面谈谈和攻击相关的吧:
一、攻击目的
攻击者通过 SSH 暴力破解控制的设备来进行 DDoS 攻击,主要利用被攻击的服务器的资源进行虚拟货币的挖掘,从而谋取利益。也就是挖挖比特币、门罗币什么的,俗称挖矿
自动化 SSH 暴力破解攻击的无差别自动化攻击方式使得开放 SSH 服务的 Linux 服务器(包括传统服务器、云服务器等)、物联网设备等成为主要攻击目标。
二、攻击字典:
对统计的 SSH 暴力破解登录数据分析发现
1、接近 99% 的 SSH 暴力破解攻击是针对 admin 和 root 用户名;
2、攻击最常用弱密码前三名分别是 admin、 password、 root, 占攻击次数的 98.70%;
约 85% 的 SSH 暴力破解攻击使用了 admin / admin 与 admin / password 这两组用户名密码组合。
图片来自网络。
三、攻击方式
攻击流程
图片来自网络。
自动化暴力破解攻击成功后,常使用 wget /curl 来植入恶意文件。Linux用的wget,少部分攻击者还会在 HTTP 服务器上,同时运行 TFTP 和 FTP 服务,并在植入恶意文件时,执行多个不同的植入命令。这样即使在 HTTP 服务不可用的情况下,仍可以通过 TFTP 或 FTP 植入恶意文件。
本次被植入的恶意脚本是 「一路赚钱」挖矿恶意程序,主要利用被控制的设备挖掘虚拟货币,这个 64 位的 Linux 挖矿恶意程序部署脚本执行后,会植入「一路赚钱」 64 位 Linux 版本的挖矿恶意程序压缩包yilu.tgz,并解压到 /opt 目录下产生文件夹yilu,然后运行主程序 mservice,注册为 Linux 系统服务,服务名为 YiluzhuanqianSer。该文件夹中有三个可执行文件 mservice / xige / xig,均被反病毒引擎检测出是挖矿类的恶意样本。根据配置文件可知, mservice 负责账号登录 / 设备注册 / 上报实时信息,而 xige 和 xig 负责挖矿,xige 挖以太币 ETH,xig 挖门罗币 XMR。
这些文件在opt/yilu里面,只要你被攻击了,在这些路径下一定能找到。
「一路赚钱」的 64 位 Linux 版本挖矿恶意程序文件夹内容如下:
图片来自网络。
挖矿使用的矿池地址:
xcn1.yiluzhuanqian.com:80
ecn1.yiluzhuanqian.com:38008
我这次被攻击对方用的是第一个地址
四、解决方案
本人能力有限,给出的解决方案只能是暂时能用,具体的各位再查查吧。
修改服务器远程连接密码。密码、密码、密码!!!别偷懒,越复杂越好。
强制杀死xig、mservice、xige等相关进程
删除可疑文件
禁止对方相关IP的访问权限
重启
这是对方IP被禁止访问后的情况,还在不停申请访问,因为xig进程我还没杀,杀了估计就没了
攻击方IP地址:115.238.241.139 浙江省丽水市 电信
本人能力实在有限,不然真想打回去。
各位有能力的大佬,路见不平拔个刀呗
xig,Linux恶意攻击脚本进程之一相关推荐
- Linux CC攻击脚本
Linux CC攻击脚本 CC(ChallengeCollapsar)主要是用来攻击页面的.大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越 ...
- linux cc攻击脚本,GitHub - yuanguoping/CCKiller: Linux轻量级CC攻击防御工具脚本
CCkiller Linux attack defense scripts tool --- Linux CC攻击防御工具脚本 请执行如下命令在线安装: curl -ko install.sh htt ...
- linux脚本攻击,恶意shell脚本攻击的方法与预防策略
前言 网络安全对于互联网从业者而言,一直是一个重要的.绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区.想想就非常可怕,攻击的人只要能从远程执行shell ...
- linux怎么监控守护进程,linux shell脚本守护进程监控svn服务
最近搭建的svn服务不知道什么原因服务总是被关闭(如果你不知道怎么搭建svn可以参考linux下搭建svn版本控制软件),因此用shell脚本实现一个守护进程.用于监控svn服务是否启动,如果服务不在 ...
- Linux 发布全新 6.0 版; 谷歌超微软开源贡献第一; GitHub 遭数万恶意攻击 | 开源月报 Vol.9...
「WeOpen Insight」是腾源会推出的「开源趋势与开源洞见」内容专栏,不定期为读者呈现开源圈内的第一手快讯.优质工具盘点等,洞察开源技术发展的风向标,预见未来趋势. 1 开源企业新闻 1.涉嫌 ...
- Linux系统shell脚本实战之解决生产ddos攻击
Linux系统shell脚本实战之解决生产ddos攻击 一.脚本于鏊求 二.脚本内容 三.执行脚本 一.脚本于鏊求 要求屏蔽掉ddos攻击的IP 二.脚本内容 [root@192 scripts]# ...
- Linux里用脚本关闭进程的方式
已知进程名称,想要关闭进程,最简单的方法是用pgrep 获取进程号,然后kill掉.如下: pid=`pgrep thrName` if ! [ -z "$pid" ] thenk ...
- 如何处理linux恶意程序
如何处理linux恶意程序 一.准备实验环境SYN洪水攻击 一台Windows Server 2003做控制端.一台linux服务器做被控制端(肉机),使用软件如下: 点击生成器输入控制端的IP生成木 ...
- 新型 Linux 病毒,脚本超 1000 行,功能复杂
俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能. 该木马是一个包含 100 ...
最新文章
- tcpdump抓包并保存到远程服务器
- [Java]学习Java(4)类、接口、语句
- 51单片机怎么学啊?有推荐的线上网课和书籍么?
- 今日头条CEO朱文佳:新一代搜索引擎已经来了
- [转] JSON转换
- python 真多线程_Python之路200个小例子,在线网页版来了,从此学习更方便!
- matlab norm向量和矩阵的范数
- 开发日志_Jan.8.2017
- sql server 2012 镜像和出现的问题
- display: flex的兼容性写法
- 安卓设计模式、安卓进阶、kotlin中文文档pdf学习资料
- 新媒体素材采集工具,帮你采集新媒体素材,提高效率
- mod() SQL中取余的函数
- vb.net word 自定义工具栏_20个Word文字处理快速掌握技巧
- finebi如何使用mysql_如何利用bi数据分析FineBI配置MySQL
- 作恶可以,但请有底线!
- python 切片详解
- fn映射 mac 键盘_Mac 与PC键盘的对比及快捷键(黑苹果)
- 仿微信修改头像,自定义相册、自定义裁剪
- pymssql 安装和使用