linux实战清理挖矿病毒

admin 2022年12月24日11:32:51应急响应评论8 views1130字阅读3分46秒阅读模式

清除过程中有些地方忘记截图了

发现挖矿病毒

通过top命令查看到有一个占用cpu 百分之90多的进程linux实战清理挖矿病毒

清除挖矿病毒

首先直接尝试 kill -9 挖矿进程ID,kill掉之后几秒钟后又重新启动了 

看一下计划任务

crontab -l # 查看计划任务

在计划任务里看到一个计划任务

crontab -r  #把计划任务进行清空

在kill -9 挖矿进程ID 过了10秒左右,挖矿木马又重新启动了,计划任务也是又新增,后缀名还不一样

去内核数据目录找找看 ls -al ll  /proc/3702linux实战清理挖矿病毒在dev目录下有东西,但是被deleted,先去看看linux实战清理挖矿病毒把dev下的vfio目录中的东西进行删除 rm -rf /dev/vfio 删除之后再次删除掉计划任务,发现过了几秒钟又自动新建了一个计划任务,

查看该进程的守护进程 systemctl status 3312018linux实战清理挖矿病毒可以看到使用wget和curl去185.246.90.203去下载ni.sh 

查找一下是否有相关进程linux实战清理挖矿病毒没有找到 在微步上去查询185.246.90.203,恶意ip一枚linux实战清理挖矿病毒

根据展示出来的守护进程,从最高层守护开始杀起(先杀父类)

rm -rf 路径  或 find / -name "*路径*" | xargs rm -rf

我是先把该程序的守护进程全部kill 掉,之后发现他又重新启动了 

再次查看守护进程,发现少了很多守护进程 从高到低进行删除 

查看第一个守护进程,里面有明显的指向cron文件 

下载到本地直接cat进行查看,虽然有些乱码,但是里面有些很明显的命令还是可以看的到的linux实战清理挖矿病毒先把目标上的cron文件进行删除,依次把后面的守护进程对应的文件也进行删除,再kill掉相关守护进程,把计划任务也删除掉(crontab -r) 过了一两分钟再次查看 计划任务crontab -l,发现没有再写入linux实战清理挖矿病毒top查看cpu利用率,没有再重新启动恶意进程linux实战清理挖矿病毒上面查看的守护进程,发现是ubuntu用户进行启动的,赋予了root权限

确定攻击的方式

密码账户无弱口令,可以排除是通过弱口令打进来的 

从守护进程中可以看到有个nifi, Apache NiFi远程代码执行-RCE,应该是利用该漏洞进行利用攻击沦陷的

https://blog.csdn.net/T780000063/article/details/111054304

尝试复现一下,通过msf 成功拿下

search nifi 
use 2
lhost 127.0.0.1
rhost 10.10.10.10
rport 8080

修复该漏洞即可linux实战清理挖矿病毒

确定攻击的时间

查看/var/log/wtmp文件查看可疑IP登陆 ,可以看到八月11号就沦陷了,应该使用了代理,ip在随机的变化linux实战清理挖矿病毒删除ubuntu账号

userdel -r ubuntu

到此,病毒清理完成。

原文始发于微信公众号(鹏组安全):linux实战清理挖矿病毒

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月24日11:32:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  linux实战清理挖矿病毒 http://cn-sec.com/archives/1479777.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: