本站所有内容仅限用于学习和研究目的,如有侵权请邮件与我们联系处理!
世上事本无难易,为之则易!

网站首页 站长资讯 正文

Linux服务器如何查杀挖矿木马

曹操 2022-05-29 站长资讯 160 ℃ 4 评论 1692字 free

近日演示站服务器被黑,上行异常,宽带总是拉满,经过判断确定是被黑了,被加入的自启动的挖矿代码。

Linux服务器如何查杀挖矿木马-第1张图片

联系了服务器客服,二五仔客服没有解决方案,这就算了,居然让我重装宝塔。

该被黑的服务器中装了几十上百个站点,断然是不能整体重装的,只有自己想办法。

付费下载了个“宝塔任务管理器”,果然看到了异常的进程:除了work32以外,还会不断的生成随机英文名应用名称的进程,直接结束异常进场即可。

Linux服务器如何查杀挖矿木马-第2张图片

同时查看启动项,还注意到有用户自定义的自动脚本:/etc/rc.local

Linux服务器如何查杀挖矿木马-第3张图片

该脚本代码如下:

#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.

touch /var/lock/subsys/local
/opt/linux_ic/setme

sh /opt/linux_ic/disk.sh
/usr/.work/work32&

经过尝试发现该代码难以删除,无奈只能百度寻找答案,发现一篇文章:《Linux挖矿木马WorkMiner集中爆发,利用SSH暴力破解传播》与我的情况相似

病毒现象:

  1、病毒启动后,会释放如下文件:

  /tmp/xmr (xmrig挖矿程序)

  /tmp/config.json (xmrig挖矿配置文件)

  /tmp/secure.sh (封禁爆破IP)

  /tmp/auth.sh (封禁爆破IP)

  /usr/.work/work64 (病毒母体文件)

Linux服务器如何查杀挖矿木马-第4张图片

  2、病毒进程

  ./work32-deamon

  ./work64 -deamon

  /tmp/xmr

  /usr/.work/work32

  /usr/.work/work64

  /bin/bash /tmp/secure.sh

  /bin/bash /tmp/auth.sh

我按照如上文件路径检测,果然发现大量异常文件,文件大小均为:535.77kb

Linux服务器如何查杀挖矿木马-第5张图片

另外可以发现这部分文件权限明显迥然与该目录下其他文件权限,为755权限。

Linux服务器如何查杀挖矿木马-第6张图片

随着摸索的深入,我发现只能用土方法:对比正常的宝塔任务管理器线程、服务、启动项来对中马服务器进行修复。

我想是以为服务器以前安装的是宝塔开心版,后来才升级成了正版,应该是使用破解版本的时候被人拿了后台,安装了自启动的挖矿脚本。


Tags:服务器

必看说明

  • 本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。
  • 本站文章或仅为文本内容原创,非程序原创。如有侵权、不妥之处,请联系站长第一时间删除。敬请谅解!
  • 本站所有内容严格遵守国家法律的条例,所有研究的算法技术均来源于搜索引擎公开默认允许用户研究使用的接口。
  • 本站分享的任何工具、程序仅供学习参考编写架构,仅可在本地的虚拟机内断网测试,严禁联网运行或上传搭建!
  • 任何资源必须在下载后24个小时内,从电脑中彻底删除。不得传播或者用于其他任何用途!否则一切后果用户自负!
  • 转载请注明 : 文章转载自  曹操博客 Linux服务器如何查杀挖矿木马
  • 本文标题:《Linux服务器如何查杀挖矿木马》
  • 本文链接:https://www.ccooc.cn/22.html

已有4位网友发表了看法:

  • 573665249li

    573665249li  评论于 [2022-06-01 09:42:43]  回复

    太猖獗了!

    • 曹操

      曹操  评论于 [2022-06-02 11:07:46]  回复

      我也很无奈!

  • 573665249li

    573665249li  评论于 [2022-06-01 09:41:58]  回复

    这段时间太多网站沦陷了,上传了寄生虫程序小说模版
    有的还是一些事业单位的网站

    • 曹操

      曹操  评论于 [2022-06-02 11:07:14]  回复

      是的,要是被黑了还好处理,我这个服务**底层中挖矿马了,上层宝塔权限都没有,只能把网站重新安装了。

欢迎 发表评论:

网站分类
近期评论
文章归档
标签列表
站点信息
  • 文章总数:1707
  • 页面总数:7
  • 分类总数:46
  • 标签总数:362
  • 评论总数:4662
  • 浏览总数:4037981