文章插图
(图片可点击放大查看)
检查异常进程ps -ef
文章插图
(图片可点击放大查看)
检查admin用户的crontabsu -admin crontab -l
文章插图
(图片可点击放大查看)
ps -ef | grep admin异常进程都是admin用户在运行
文章插图
(图片可点击放大查看)
- 再次杀异常进程
ps -ef | grep "dbused"| awk '{print $2}'| xargs killps -ef | grep "bashirc"| awk '{print $2}'| xargs killps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill
文章插图
(图片可点击放大查看)
- 删掉恶意程序文件
rm -rf bashirc dbused .lock .pwn .python
文章插图
【一次挖矿病毒的处理过程复盘】(图片可点击放大查看)
admin用户的定时任务清理
文章插图
(图片可点击放大查看)
.bash_profile 文件清理
cat /home/admin/.bash_profile
文章插图
(图片可点击放大查看)
10、也学习挖矿病毒的套路进行抑制如果再观察top CPU还是100%的话 可能就要献上大招了
1)vi /etc/hosts 解析成不通的地址
文章插图
文章插图
(图片可点击放大查看)
2)定时任务杀进程并清理
脚本如下
/opt/virus_clear.sh#!/bin/bashLOCK=/var/log/virus_clear.logecho "清理日期:" >> ${LOCK} 2>&1echo `date '+%Y-%m-%d_%T'`>> ${LOCK} 2>&1echo "=================Virus Clear Start===============================">> ${LOCK} 2>&1ps -ef | grep "dbused"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill >> ${LOCK} 2>&1rm -rf /tmp/bashirc /tmp/dbused /tmp/.lock /tmp/.pwn /tmp/.python >> ${LOCK} 2>&1echo > /var/spool/cron/admin >> ${LOCK} 2>&1记得脚本添加执行权限crontab -e设置定时任务
文章插图
(图片可点击放大查看)
这样为减少业务带来的影响 , 先恢复业务 , 为溯源和百度求证完全清理赢得时间
3)出口防火墙上封锁矿池IOC地址
4)移走/usr/bin/curl和/usr/bin/wget命令
文章插图
(图片可点击放大查看)
前提是你的业务程序不需要使用到这两个命令
如果是root弱密码或其他漏洞进行bash提权进行入侵的话 , 清理难度就比我上面的要大
可以研究一下具体木马脚本里注入了哪些地方
文章插图
(图片可点击放大查看)
文章插图
(图片可点击放大查看)
文章插图
(图片可点击放大查看)
四、总结不过也遇到过kdevtmpfsi和startMiner新型变种挖矿木马 , 这种清理就相比上面复杂一些
可以参考如下文章进行处理
- 《记一次套路较深的双家族挖矿事件应急响应》
- 《应急响应案例:kdevtmpfsi挖矿木马》
- 《从一次攻击溯源中暴露的安全问题》
推荐阅读
- 一百次感动比不上一次心动下一句?一百次感动比不上一次心动怎么回复
- 三毛的每想你一次,天上飘落一粒沙是哪本书?想你一次天上就掉一粒沙 于是形成撒哈拉
- 计算机病毒传染的一般过程是怎样的
- 不会放过你重生,一朝重生,重回定亲之日,这一次她定不会再放开他的手-
- 一次包络和二次包络区别 二次包络原理
- 腾讯游戏多久可以改一次实名认证?
- 记一次springmvc设置aop切面失败到解决
- 2020年工伤一次性补助赔偿标准表 2020年工伤死亡一次性补助金标准
- 鸡胗皮磨粉一次吃多少
- 中学生应该怎样做才能远离病毒?