newinit.sh挖矿攻击处理与规避方案

目录

攻击分析

恢复措施:

问题排查

攻击入口分析

预防

临时处理方案:


攻击分析

攻击者:职业黑客(99%) 

攻击方式:挖矿病毒newinit.sh和蠕虫病毒pnscan

中毒现象:

  • 服务器负载异常,具体表现load值冲高

  • 服务器部分命令不可用,如top、ps、pstree、chattr等

  • 重点是影响正在运行的业务

  • 因为命令被篡改了,所以ps -ef是找不到的

 

newinit.sh 主要功能是:关闭selinux、杀掉别人的挖矿进程、杀掉CPU占用过高的进程,如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志、感染已知的免密机器。

pnscan的主要功能是:扩散病毒,主要只针对内网服务器

恢复措施:

  • 第一步:清除木马后门(ssh免登录密钥),修改所有用户账号密码(查看是否有新增用户)

  • 第二步:杀死木马进程以及清除木马文件(挖矿病毒newinit.sh和蠕虫病毒pnscan)

  • 第三步:逆newinit.sh执行,分析newinit执行的shell,逆向执行

  • 第四步:第三步无法根除病毒造成的影响,只要感染了病毒优先考虑更换服务器,速度越快越好

问题排查

Ps top pstree被屏蔽,无法发现病毒

定时任务,保持病毒的活跃性

加锁文件,使得无法删除

留下后台,免密授权

攻击入口分析

Redis访问策略为0.0.0.0时,访问不受限

ssh端口默认为0.0.0.0时,有被爆破的痕迹

预防

  • ·SSH更换端口,不使用22,redis不使用6379,其他常用服务效仿

  • ·替换掉SSH密码登陆,改用公钥

  • ·redis一定要设定密码,redis尽量尽量尽量不暴露在外网

  • ·mysql、redis、mq等基础软件,一定要关注安全更新

  • ·操作系统要使用支持维护的稳定版。比如Centos7会维护到2024年。

  • ·操作系统一定要及时安装安全补丁

  • ·生产环境一定要放在完全封闭的内网,仅通过跳板机/堡垒机操作

  • ·权限管理尽量细致,避免root滥用的情况

临时处理方案

临时处理方式,如果被植入newinit.sh,一定迁移服务,攻击脚本中修改太多的系统服务配置,人工很难恢复到健康的服务状态,所以能迁移就迁移。并且保证不让这个挖矿进来

# 第一步:首先修改服务器root密码,防止继续攻击# 第二步:尝试恢复
chmod 774 /usr/bin/chattr
chattr -ia /etc/zzh*
chattr -ia /etc/newinit.sh*
chattr -ia /root/.ssh/authorized_keys*
chattr -R -ia /root/.ssh
rm -rf /etc/zzh*
rm -rf /etc/zzhs     
rm -rf /etc/newinit.sh*
rm -rf /etc/init.sh*
mv  /usr/bin/wd1 /usr/bin/wget
mv  /usr/bin/cd1 /usr/bin/curl
echo 0 > /proc/sys/vm/nr_hugepages
sysctl -w vm.nr_hugepages=0
chattr -i /etc/resolv.conf 2>/dev/null 1>/dev/null
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d
rm -rf      /etc/cron.d/zzh
pkill -f zzh
pkill zzh
pkill .zzh
rm -rf /etc/zzhchattr -ia /tmp/zzh*
chattr -ia /tmp/newinit.sh*
rm -rf /tmp/zzh*
rm -rf /tmp/newinit.sh*
pkill pnscan
pkill masscan
pkill cd1
pkill wd1
rm -rf /var/tmp/.ice-unix/
rm -rf /tmp/.ice-unix/
rm -rf /usr/local/bin/pnscan
rm -rf /usr/bin/pnscan
rm -rf /usr/local/bin/masscan
rm -rf /usr/bin/masscan
ps -ef | grep 'cleanfda' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'newinit.sh' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'kde' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'kins' | awk '{print $2}' |xargs kill -9# 查看下more /bin/ps# 如果ps命令也被篡改,则修复下:chattr -ia /bin/ps
rm -rf /bin/ps
mv /bin/ps.original /bin/ps chattr -ia /bin/top
rm -rf /bin/top
mv  /bin/top.original /bin/topchattr -ia /bin/pstree
rm -rf /bin/pstree
mv  /bin/pstree.original /bin/pstree

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/17736.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CTFHUB技能树——SSRF(一)

目录 一、SSRF(服务器端请求伪造) 漏洞产生原理: 漏洞一般存在于 产生SSRF漏洞的函数(PHP): 发现SSRF漏洞时: SSRF危害: SSRF漏洞利用手段: SSRF绕过方法: 二、CTFHUB技能树 SSRF 1.Ht…

oracle 12c GI卸载流程

集群节点停止服务 [crsctl stop crs -f grid运行deinstall [rootprimary1 bin]# su - grid [gridprimary1 ~]$ cd $ORACLE_HOME/deinstall [gridprimary1 deinstall]$ ls bootstrap_files.lst bootstrap.pl deinstall deinstall.pl deinstall.xml jlib readme.txt …

多张图片上传、图片回显、url路径转成File文件

1. 实现 背景&#xff1a;在表单中使用element-plus实现多张图片上传(限制最多10张)&#xff0c;因为还要与其他参数一起上传&#xff0c;所以使用formData格式。 编辑表单回显时得到的是图片路径数组&#xff0c;上传的格式是File&#xff0c;所以要进行一次转换。 <tem…

超频是什么意思?超频的好处和坏处

你是否曾经听说过超频&#xff1f;在电脑爱好者的圈子里&#xff0c;这个词似乎非常熟悉&#xff0c;但对很多普通用户来说&#xff0c;它可能还是一个神秘而陌生的存在。 电脑超频是什么意思 电脑超频&#xff08;Overclocking&#xff09;&#xff0c;顾名思义&#xff0c;是…

堆排序和Topk问题

堆排序 堆排序即利用堆的思想来进行排序&#xff0c; 总共分为两个步骤&#xff1a; 1. 建堆 升序&#xff1a;建大堆&#xff1b; 降序&#xff1a;建小堆 2 .利用堆删除思想来进行排序 利用堆删除思想来进行排序 建堆和堆删除中都用到了向下调整&#xff0c;因此掌握了…

外卖系统关于redis使用解决高并发情况

1、如何配置redis 在java中操作redis 操作步骤&#xff1a; 1、导入Spring Data Redis的maven坐标 2、配置Redis数据源 3、编写配置类&#xff0c;创建RedisTemplate对象 4、通过RedisTemplate对象操作Redis 2、Redis结合Lua脚本 减少网络开销&#xff1a;使用Lua脚本&#xf…

中医理疗元宇宙 科技赋能中医药产业走向国际市场

基于380亿参数量&#xff0c;对中医药海量文本进行数据训练&#xff0c;实现方剂优化、机制阐释和新适应症的精准发现……日前在天津召开的数智赋能大健康产业新质生产力暨第四届中医药国际发展大会上&#xff0c;由天士力医药集团与华为云共同开发的“数智本草”中医药大模型正…

37. 解数独 - 力扣(LeetCode)

基础知识要求&#xff1a; Java&#xff1a; 方法、for循环、if else语句、数组 Python&#xff1a; 方法、for循环、if else语句、列表 题目&#xff1a; 编写一个程序&#xff0c;通过填充空格来解决数独问题。 数独的解法需 遵循如下规则&#xff1a; 数字 1-9 在每一行…

Windows搭建Nginx代理本地盘的文件(共享路径或本地路径)

文章目录 Windows搭建Nginx代理本地盘的文件 - 前言需求背景挂载网络共享路径检查连接状态下载Nginx编辑 Nginx 配置文件启动 Nginx检测Nginx是否成功启动使用方法远程共享路径示例本地文件示例 测试 Windows搭建Nginx代理本地盘的文件 - 前言 在开发过程中&#xff0c;确保文…

ChatGPT Mac客户端 下载安装教程(免费 不限次数使用 还支持语音聊天)

ChatGPT Mac客户端 下载安装教程&#xff08;免费 不限次数使用 还支持语音聊天&#xff09; 原文链接&#xff1a;https://blog.csdn.net/weixin_48311847/article/details/139248625 免费 不限次数使用 还支持语音聊天

曼城四连冠,剑南春与万千球迷共同见证“荣耀时刻”

执笔 | 洪大大 编辑 | 扬 灵 5月19日&#xff0c;英超2023-2024赛季第38轮比赛全面开打&#xff0c;凭借队员的出色发挥&#xff0c;曼城最终以3-1战胜西汉姆联&#xff0c;成功捧起了英超联赛的奖杯&#xff0c;成为英格兰足球顶级联赛100多年历史上第一支成就四连冠的豪门…

事务报错没有显示回滚导致DDL阻塞引发的问题

在业务开发过程中&#xff0c;显示的开启事务并且在事务处理过程中对不同的情况进行显示的COMMIT或ROLLBACK&#xff0c;这是一个完整数据库事务处理的闭环过程。 这种在应用开发逻辑层面去handle的事务执行的结果&#xff0c;既确保了事务操作的数据完整性&#xff0c;又遵循了…

探索未来设计新境界,PSAI插件 艺术创作神器来袭!

想象一下&#xff0c;如果有一个工具&#xff0c;能够让你的设计工作变得既简单又高效&#xff0c;那会是怎样的体验&#xff1f;现在&#xff0c;梦想成真了&#xff01; 这是一款革命性的PSAI设计插件&#xff0c;专为创意人士打造。它将彻底改变你的设计流程&#xff0c;让你…

【OpenCV】像素信息统计

介绍了计算像素均值、方差的API&#xff0c;以及统计像素信息的方法。相关API&#xff1a; minMaxLoc()mean()meanStdDev() 代码&#xff1a; #include "iostream" #include "opencv2/opencv.hpp"using namespace std; using namespace cv;int main(int…

【全开源】JAVA同城搬家系统源码小程序APP源码

JAVA同城搬家系统源码 特色功能&#xff1a; 强大的数据处理能力&#xff1a;JAVA提供了丰富的数据结构和算法&#xff0c;以及强大的并发处理能力&#xff0c;使得系统能够快速地处理大量的货物信息、司机信息、订单信息等&#xff0c;满足大规模物流的需求。智能路径规划&a…

香橙派 AIPro开发板上手测评

前言 最近拿到了一个新玩具&#xff1a;香橙派 AIPro。一个只比银行卡大一点点的开发板能带给我们多少惊喜呢&#xff1f;接下来就跟我一起来体验下这块开发板的魅力。 一、硬件配置 CPU&#xff1a;配备了4核64位ARM处理器&#xff0c;其中默认预留1个给AI处理器使用 NPU&am…

SpringBoot和Apache Doris实现实时广告推荐系统

本专题旨在向读者深度解读Apache Doris技术,探讨其与SpringBoot框架结合在各类实际应用场景中的角色与作用。本专题包括十篇文章,每篇文章都概述了一个特定应用领域,如大数据分析、实时报告系统、电商数据分析等,并通过对需求的解析、解决方案的设计、实际应用示例的展示以…

【Python实战】你还在冲会员看电影电视剧吗?Python带你实现各大资源免费看!

前言 halo&#xff0c;包子们下午好 今天给大家实现一个视频播放器&#xff0c;可以看任何电影&#xff0c;电视剧&#xff0c;不要再为以后看电视看电影而烦恼&#xff0c;今天是福利文章&#xff0c;相信我绝对有用&#xff01; 开发工具 Python版本&#xff1a;3.7.8 相…

驱动未来:IT行业的现状与发展趋势

前言 随着技术的不断进步&#xff0c;IT行业已成为推动全球经济和社会发展的关键力量。从云计算、大数据、人工智能到物联网、5G通信和区块链&#xff0c;这些技术正在重塑我们的生活和工作方式。本文将探讨IT行业的现状和未来发展趋势&#xff0c;并邀请行业领袖、技术专家和…

Follow Your Pose: Pose-Guided Text-to-Video Generation using Pose-Free Videos

清华深&港科&深先进&Tencent AAAI24https://github.com/mayuelala/FollowYourPose 问题引入 本文的任务是根据文本来生成高质量的角色视频&#xff0c;并且可以通过pose来控制任务的姿势&#xff1b;当前缺少video-pose caption数据集&#xff0c;所以提出一个两…