Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案

2020-04-16 22:13:12 1977 收藏 6
分类专栏: # Linux 信息安全类 文章标签: Liunx 安全 挖矿病毒
最后发布:2020-04-16 22:13:12首次发布:2020-04-16 22:13:12
联系方式(QQ:1600337300)——Starzkg
本文链接:https://blog.csdn.net/weixin_43272781/article/details/105568129
版权

问题描述

Linux进程 

阿里云管理控制台看看CPU占用率

解决方案 

 

top命令

获取进程号

查看进程运行的文件位置

ls 命令

ls -l proc/{进程号}/exe

sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。

病毒脚本分析

即update.sh:

1,在 /root/.ssh/authorized_keys里面,添加病毒投放者的公钥,保证其可以使用 SSH 登录到服务器。

2,下载

config.json (挖矿配置)、

sysupdate (XMR 挖矿软件)、

update.sh (病毒主脚本)、

networkservice(scanner扫描并入侵其他的主机)、

sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)

并保证他们以 root 权限运行。

3,kill其他的挖矿病毒(优秀。。。)。

................................

删除定时任务

rm /var/spool/cron/root 或crontab -r

杀掉进程

kill命令

kill -9 {进程号}

删除文件

文件无法直接删除,因为一般病毒会使用chattr +i命令。

我们使用

chattr -i sysupdate
rm -f sysupdate 
chattr -i networkservice
rm -f networkservice
chattr -i sysguard
rm -f sysguard
chattr -i update.sh
rm -f update.sh
chattr -i config.json
rm -f config.json

对于/root/.ssh/authorized_keys文件可以选择删除或修复

不能确定病毒投放者的KEY时建议全部删除。

其他问题 

如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

1、修复SELinux

病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。

如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

2、wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来

mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

3、恢复防火墙配置

这里给出病毒脚本修改的iptables配置的语句,方便读者修复

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload

如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。 

参考文章 

https://notes.daiyuhe.com/clear-linux-mining-virus/

https://blog.csdn.net/weixin_41762839/article/details/105113868

https://blog.csdn.net/aaa_bbb_ccc_123_456/article/details/103292656

已标记关键词 清除标记
拥抱混合云,企业 2.5倍的价值飞跃从哪儿来?
01-27
IBM 混合云平台基于Red Hat OpenShift ,支持您在云端、本地和边缘环境之间进行一致的构建和运行。
Xmrig门罗币挖矿程序(鱼池版)linux和win版本
05-08
需要修改成自己的门罗钱包地址,里面有两个程序,一个在win机器下运行的,一个在linux机器下运行的
表情包
插入表情
还能输入1000个字符
Linux挖矿病毒排查分析
01-31
文中只列出排查思路,及解决办法,同时提出了redis的安全加固等。 为企业做信息安全事件贡献自己的一份力量。
记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵
球球的博客
12-06 1149
单位ip被电信拉黑,原因恶意访问非法目的地; 通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110 登陆服务器一看cpu 爆满; 看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice清除的过程 使用top已经知道了进程号,接下来看看位置,命令ls -l pro...
记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
Linux挖矿病毒-sysupdate, networkservice清除
aaa_bbb_ccc_123_456的博客
11-28 4217
早上起床发现收到了腾讯云短信 第一印象,又TM被盗了?上次被盗,让人用来挖矿了,传送门: 记一次服务器被黑客用来挖矿的经历. 连上服务器,输入top命令 …一切正常,并没有异常 打开etc目录,发现几个异常文件 sysupdatenetworkservice 同时还有sysguard、update.sh,config.json,除了update.sh是脚本,config.json一...
Linux删除文件出现rm: cannot remove `.user.ini': Operation not permitted
江南极客
01-12 2万+
Linux中rm -rf的威力是十分巨大的,特别是附带了 -f 参数,不少新手都干过用root用户执行 rm -rf /命令这种傻事,如果云服务器没有快照,简直就是灾难,从根目录开始所有文件被递归删除,连系统都被损坏。 但是,偶尔也会遇到使用rm -rf也删除不了的文件,执行后报rm: cannot remove `.user.ini': Operation not permitted,如
记录一下今天发生的linux挖矿病毒networkservice进程
weixin_41762839的博客
03-26 775
一早上班打开电脑,习惯性的登陆服务器,没有往日的顺畅感,特别的慢,难道是因为我电脑不关机的原因? 此时我又打开了别的服务器,结果非常快的就上去了,这就不对劲了,马上却换到特别卡的那台服务器查看: 以为是内存溢出: free -h 发现内存很充足,并没有问题 随后top查看: top#排序cpu 结果看到了最高的两个进程networkservice,这是网络服务? 查找文...
Linux挖矿病毒sysupdate
RivenDong
07-07 868
文章目录1. Aliyun中毒2. 解决方案2.1 删除定时任务2.2 杀死进程清除文件2.3 检查清理3. 补查 1. Aliyun中毒 好久不用我的Aliyun服务器,发现CPU使用率飙到了179%,发现是因为中了Linux挖矿病毒sysupdate引起的。 2. 解决方案 使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe ls -l /proc/22750/exe 进入/tmp下查看 2.1 删除定时任务 crontab -r 2.2 杀死进程清除文件
解决挖矿病毒占用高cpu(sysupdatenetworkservice
周大侠的博客
04-01 1771
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、ww...
Linux开机启动过程分析
念愿的专栏
03-07 1043
开机过程指的是从打开计算机电源直到LINUX显示用户登录画面的全过程。分析LINUX开机过程也是深入了解LINUX核心工作原理的一个很好的途径。 启动第一步--加载BIOS 当 你打开计算机电源,计算机会首先加载BIOS信息,BIOS信息是如此的重要,以至于计算机必须在最开始就找到它。这是因为BIOS中包含了CPU的相关 信息、设备启动顺序信息、硬盘信息、内存信息、时钟信息
linux清理挖矿病毒kdevtmpfsi,sysupdate, networkservice
吸欧气
07-22 519
突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,网上参考,总结一下,方便下次使用 病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需要清除清除定时任务 chattr -ai /var/spool/cron chattr -ai /var/spool/cron/root crontab -r lsattr 查看 chattr -i 去除i锁 chattr +i 加i锁 sysupdatenetworkservice
Linux--更新(update/upgrade) & 更新源
liyuxia713的专栏
11-14 4万+
<br /><br />类似于windows的自动更新,linux也有相应的更新方式。<br /> <br />更新命令:<br />$sudo apt-get update  #更新<br />$sudo apt-get upgrade  #升级,需要用update更新完才能upgrade<br />更详细的,请 $man apt-get<br /> <br />此时会从更新源下载并安装。<br />记录更新源的文件:/etc/apt/sources.list<br />默认sources.list中
记录一次sysupdatenetworkservice清除脚本记录
凌晨的博客
10-28 1487
SName=sysupdate NName=networkservice SPID=`ps -ef | grep 'sysupdate' | grep -v grep | awk '{print $2}'` NPID=`ps -ef | grep 'networkservice' | grep -v grep | awk '{print $2}'` echo $SPID echo $NPID ...
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 2246
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
服务器中木马病毒处理(CPU占用率很高)处理办法
ycc2011的专栏
07-12 253
参考:https://blog.csdn.net/wkfyynh/article/details/105206990 记录一下这个过程,方便后来人使用。如果遇到权限问题,在所有执行命令前使用sudo 1、使用top查看当前哪个进程正在耗CPU资源;记住那个进程的 PID 号 和使用的COMMAND ;都在同一行 例如异常的进程为PID为 1627 ;命令为teamviewerd (这里只做演示,并不代表它就是一个木马病毒) 2、ls -l /proc/1627/exe 可以定位到...
linux删除挖矿病毒
weixin_39202006的博客
04-29 279
通过top查看cpu占用细节,找到占用超过90%以上的服务,就是病毒程序了。 比如sysupdate服务超过90% ps -ef | grep sysupdate kill pid杀掉进程 首先linux用户比如root或者其他创建的密码要复杂。 然后,一般病毒文件会放在tmp文件夹下,因为tmp的权限一般会是777,所以要tmp权限设置为744或者其他。 用root用户删除tmp文...
©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页