安基网 首页 安全 攻防实践 查看内容

记一次对Linux挖矿病毒kswapd0的分析和清除

2020-12-29 14:50| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743 ...

一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。

那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743,通过 ll /proc/2743,我们看进程里啥玩意。看到了执行了 一个 /root/.configre/a/kswapd0 ,这个就太形迹可疑了,这完全是病毒程序呀,还在/root/.configrc/ 目录里。

我们查看下,这个查看下这个进程是否有对外连接端口,netstat -anltp|grep kswapd0,显示IP是的 45.9.148.117的

查询了一下,是一个荷兰的IP地址:

习惯的再看了下 计划任务,crontab -e,好家伙,计划任务里面也不少。tmp目录也有。

==, last,我们看下安全日志有无无异常

less /var/log/secure|grep 'Accepted'

查了一个ip,85.25.197.79 85.203.33.49 ,一个法国,一个德国的。应该都是代理啥的吧。

看来是被入侵无疑了,还用root ssh上来的。基本上的root密码太简单了,比如我这朋友设置的 密码就是 类似于 1q2w3e.. 类似这样的,这些扫描病毒常用字段都是有的,赶紧改了

病毒结构

病毒结构,我看到的是这样的 (经过网上查证,该病毒种类繁多,文件位置基本不一样)

/root/.configrc/*			病毒所在目录
/root/.ssh/					病毒公钥
/tmp/.X25-unix/.rsync/*		病毒运行缓存文件
/tmp/.X25-unix/dota3.tar.gz	病毒压缩包
/root/.configrc/a/kswapd0  	病毒主程序
==========病毒相关计划任务==========
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
====================================

病毒处理

1、先立即修改掉密码。删除一些后门ssh key内容。

2、直接kill掉2743进程,后续观察服务,然后 清理计划任务: crontab -e

kill -9 2743

3、删除/root/ 目录下的.configrc文件夹

rm -rf /root/.configrc/

4、删除/tmp目录下 的那个计划任务文件


5、这玩意是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/bin/perl /usr/bin/perl-bak,然后锁定目录chattr +i /usr/bin #看自己情况操作

安全建议

  1. 尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
  2. 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
  3. 密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
  4. 及时修补系统和软件漏洞

病毒种类

按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。所以大家一定要修改好强悍的root密码。网上有这个病毒更详细的分析报告,大家有兴趣可以去搜下。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6911140163808805379/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部