挖矿病毒处理记录

wnTKYg进程发现

  • 执行top

挖矿病毒处理记录_第1张图片

会发现此进程。

wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。

  • 检查authorized_keys、known_hosts文件
[root@zfr ~]# cd /root/.ssh

[root@zfr ~]# cat authorized_keys 

[root@zfr ~]# cat known_hosts

挖矿病毒处理记录_第2张图片

看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。

  • 查找挖矿进程

其次,我想找一下这个病毒存在的路径。执行了个命令:

find / -name wnTKYg*

或者在top下,按C 就可以显示这个路径了。

发现这个wnTKYg 的程序在/tmp 下。

处理挖矿病毒

直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。

继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004 两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。

  • 检查定时任务

排查了第一个定时任务的地址:

vi /etc/crontab

挖矿病毒处理记录_第3张图片

发现里面只有我自己设置的定时任务。

我就把全文搜索了下crontab

find / -name crontabs   find / -name crontab

于是我又发现了一个路径/var/spool/cron 非常可疑!

  • 查看文件

我先看了下root文件

/var/spool/cron/crontabs文件夹下的root文件

都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.

我用浏览器访问了下这个IP:

挖矿病毒处理记录_第4张图片

发现里面有病毒和几个脚本。

下载了这个i.sh这个脚本。

挖矿病毒处理记录_第5张图片

就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。

我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。

因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。

结果

我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。

观察了top一段时间,发现此病毒暂时没有复发。

 

 

你可能感兴趣的:(Linux)