首页 > 其他分享 >挖矿病毒消灭记

挖矿病毒消灭记

时间:2024-05-20 15:43:41浏览次数:27  
标签:脚本 gluesource xxl sh 消灭 服务器 挖矿 病毒

参考:https://blog.csdn.net/qq_59201520/article/details/129816447
接上篇《挖矿病毒消灭记》传送门

项目场景:

叮咚,一条短信打破了安静平和的氛围。
image

啊?咋又被挖矿了,现在在外面,回头要赶紧把进程关了


问题描述

回到家赶紧打开电脑输入命令行top,果然不出所料cpu飙升到200%,找到pid,然后kill -9 pid号


过程分析:

提示:这里填写问题的分析:

首先按照之前的经验我先全局搜索了xmrig,find / -name "*xmrig*"然而一无所获。
接着我去我的crontab定时任务看看,也没有啥异常啊
再看了下阿里云告诉我的
image
看了下syncnet文件,里面全是二进制文件,感觉看不出啥,于是我在想是不是每次发项目时候拉了远程的jdk17,那里面有病毒?抱着怀疑的想法周一在公司搞了一上午没有太大进展,通过clamav也没查出来啥,我甚至还拟定了服务器维护计划,如下

  1. 换我服务器的暴露端口号
  2. 使用本地image
  3. 换redis密码
  4. 禁用root登录
  5. clamav安装
  6. 木马查杀
    下午时候先看看别的报警吧,有多少要修复的给自己心里有点数。
    看了下“可疑”这个tab,出现了一个可疑下载,再细致一看,
    image

怎么是我的项目java -jar xxx.jar里面触发的,这个意思是我项目一启动就触发了这个下载,这下载的是啥,追到容器里,根据路径打开这个sh脚本
image

是下载的一个sh脚本,并重命名成.00.sh放到了/tmp下,跟着去看下这里面写的什么
image
我去,这特么不就是阿里报给我的门罗币么,感觉找到问题根源了~
再回看下其他两个sh脚本里写的啥
image
说白了就是给这个挖矿脚本铺路的,好了根源就是这些脚本,那为啥我的服务器会有这些sh脚本呢,哪里来的呢,我平时也没下什么东西到服务器上啊。
看了下这个路径/home/sadmin/jenkins/logs/application/xxx-core/gluesource/很显然这路径跟xxl跑不了干系,对比了下我配置xxl的logPath路径,咦,发现这个多了个gluesource这个文件夹,攻击脚本就是在这个文件夹里头的,


解决方案:

于是我百度了下“gluesource病毒”找到这位老哥的文章传送门,哦原来是xxl有个漏洞,黑客可能通过这个漏洞攻击了我xxl服务器,看老哥的建议说换个端口号和指定ip访问,看了下阿里云那果然之前设置的是0.0.0.0,修改成我的服务器ip,重启下,再进容器到/home/sadmin/jenkins/logs/application/xxx-core/gluesource/里面没有执行脚本了,emmm就先放两天观察观察,特记录下

标签:脚本,gluesource,xxl,sh,消灭,服务器,挖矿,病毒
From: https://www.cnblogs.com/warrenwt/p/18202068

相关文章

  • (挖矿病毒清除)kdevtmpfsi 处理,其他挖矿软件也可用该思路清除
    1、Top命令线程运行情况,找到kdevtmpfsi对应的进程ID2、使用 kill-9PID3、过段时间再次被重启,说明有守护线程systemctlstatusPID查看其关联的守护进程,/tmp/kinsing  /tmp/kdevtmpfsi删除rm-rf/tmp/kinsingrm-rf/tmp/kdevtmpfsi4、crontab-l 命令先看看......
  • worm. 3dsmax.alc.1蠕虫病毒
    病毒特征:1.Ctrl+Z撤销崩溃2.关闭文件时点击“不保存”,却自动保存3.中毒后主文件都会中毒,并感染其他max文件,有可能损坏你的模型文件原理:1.打开一个带病毒的模型文件(保存后?)2.在脚本目录下(STARTUP)创建“vrdematcleanbeta.mse”、“vrdematcleanbeta.msex”并会一直存在3.这两......
  • [转]查杀linux隐藏挖矿病毒rcu_tasked
    记录一次项目中挖矿病毒的经历这是黑客使用的批量蔓延病毒的工具,通过如下脚本[[email protected]]#cat/home/pischi/.bash_historycd/root/nvidia-smi;ls-a;cd.cfg;ls-a;wc-lip./key20-fippass22"nproc;nvidia-smi;rm-rf.cfg;mkdir.cfg;cd.cfg;wget193.42......
  • 云服务器遭到黑客入侵植入木马病毒排查过程
    1、问题说明在一个安静的下午,突然手机上面接收到云服务器厂商发的一条短信。短信内容为服务器疑似被木马病毒入侵,监测到病毒文件。然后我就使用FinalShell登录服务器准备进去看一看,刚登陆进去FinalShell左边监控程序显示cpu占用100%。服务器正常来说cpu只会在3%~9%之间,突然这个CP......
  • 挖矿流量分析之Stratum挖矿协议
    目录前言区块链和挖矿相关概念挖矿木马挖矿协议StratumStratum工作过程前言之前做了一个关于“挖矿行为检测”的大创训练项目,在这里记录一下我关于挖矿检测相关内容的学习。区块链和挖矿相关概念区块链首先需要了解一些关于区块链的内容。注意,区块链和挖矿是两个紧密相关但又......
  • linux实战-挖矿
    简介应急响应工程师在内网服务器发现有台主机cpu占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组虚拟机账号密码rootwebsecyjxyweb端口为80811、黑客的IP是?flag格式:flag{黑客的ip地址},如:flag{127.0.0.1}2、黑客攻陷网站的具体时间是?flag格式:flag......
  • mpcmdrun.exe 是 Windows Defender 的命令行界面工具,用于运行 Windows Defender 的扫
    mpcmdrun.exe是WindowsDefender的命令行界面工具,用于运行WindowsDefender的扫描和其他安全操作,如更新病毒定义文件、运行快速扫描等。它是WindowsDefender的一部分,用于保护系统免受恶意软件和其他安全威胁的侵害。这个程序通常自动运行,并在后台处理安全任务,以......
  • 记一次“XMR门罗币挖矿木马病毒”处置
    一、背景概述故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。市面上存在很多关于XMR门罗币挖矿的教程,这些教程可能会被攻击者恶意利用来进......
  • linux挖矿病毒排查-实操
    一、优先排查netstat-ntpl//恶意连接排查cat/etc/passwd//异常账户排查cat/etc/shadowcat/etc/rc.d/rc.local/init.d等//开机启动项排查chkconfig--list//同等上面,为了全面可以使用此命令复查下crontab-l//计划任务排查cat/etc/hosts//hostst文件排查ca......
  • 电脑病毒感染【华为OD机试】(JAVA&Python&C++&JS题解)
    一.题目-电脑病毒感染一个局域网内有很多台电脑,分别标注为0-N-1的数字。相连接的电脑距离不一样,所以感染时间不一样,感染时间用t表示。其中网络内一个电脑被病毒感染,其感染网络内所有的电脑需要最少需要多长时间。如果最后有电脑不会感染,则返回-1给定一个数组times表示......