【实战】记录一次服务器挖矿病毒处理

信息收集及kill:

查看监控显示长期CPU利用率超高,怀疑中了病毒

在这里插入图片描述

top 命令查看进程资源占用:
在这里插入图片描述
netstat -lntupa 命令查看有无ip进行发包
在这里插入图片描述
netstat -antp
在这里插入图片描述
然而并没有找到对应的进程名

查看java进程和solr进程

在这里插入图片描述

ps aux :查看所有进程
在这里插入图片描述
除相关进程:kill -9(无条件退出进程)

为了防止有定时任务,再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务

在这里插入图片描述居然没有????

保存样本,删除木马进程文件:

find / -name kdevtmpfsi :查找进程文件(需要root权限)

在这里插入图片描述想要分析这个病毒样本,于是使用sz命令,将进程文件下载
在这里插入图片描述

ps -aux | grep kdevtmpfsi
ps -aux | grep kinsing

命令列出恶意进程及其端口号

正常来说用kill -9直接删除“kdevtmpfsi”和“kinsing”就可以结束这个事件了

之后cd入文件 em -rf [文件名] 将进程文件全部删除:
在这里插入图片描述
或(删除全部相关文件)

find / -name "kinsing*" | xargs rm -rf

断后路:

last 查看登录日志ip
在这里插入图片描述

封禁异常ip

iptables -I INPUT -s 183.202.22.0/24 -j DROP

其他ip相关操作:

查看:iptables -L -n -v --line-numbers
封禁:iptables -I INPUT -s 123.45.6.0/24 -j DROP

ipset

ipset create ipban hash:ip,port hashsize 4096 maxelem 1000000 timeout 100 #加入集合 i
pset del ipban x.x.x.x # 从 ipban 集合中删除内容ipset list ipban # 查看 ipban 集合内容 
ipset list # 查看所有集合的内容 
ipset flush ipban # 清空 ipban 集合ipset flush # 清空所有集合ipset destroy ipban # 销毁 ipban 集合ipset destroy # 销毁所有集合ipset save ipban # 输出 ipban 集合内容到标准输出ipset save # 输出所有集合内容到标准输出ipset restore # 根据输入内容恢复集合内容

联合

iptables -I INPUT -m set --match-set ipban src -j DROP

后续及病毒扫描安装:

​后来这个进程还是会冒出来,猜测应该还是又其他新的守护进程

经过重复测试,每次kill 掉kdevtmpfsi 进程 ,就会有一个 YDService 进程出现

重复上述操作,删除进程文件以及kill该进程

考虑到主要原因在于服务器的配置策略以及安全性不足导致
安装linux杀毒工具clamAV:

apt-get install clamav clamav-freshclam

freshclam即为病毒扫描进程

在这里插入图片描述

更新

为防止蠕虫传播,必须经常检查更新,ClamAV用户需要经常执行freshclam,检查间隔为30分钟。由于ClamAV用户数量过大,托管病毒数据库文件的服务器很容易过载。如果直接执行freshclam从公网更新会很慢,可以通过搭建私有镜像源进行内网分发

cat /etc/cron.d/clamav-update  
##每三个小时执行更新
0  */3 * * * root /usr/share/clamav/freshclam-sleep
##更新病毒库
freshclam
##病毒库文件
/var/lib/clamav/daily.cvd
/var/lib/clamav/main.cvd

ClamAV扫描病毒

Clamscan 可以扫描文件、用户目录或者整个系统

##扫描文件
clamscan targetfile
##递归扫描home目录,并且记录日志
clamscan -r -i /home  -l  /var/log/clamscan.log
##递归扫描home目录,将病毒文件删除,并且记录日志
clamscan -r -i /home  --remove  -l /var/log/clamscan.log
##建议##扫描指定目录,然后将感染文件移动到指定目录,并记录日志
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log

周期自动扫描病毒

##每天凌晨11点进行文件扫描
crontab -e
0 23 * * * root  /usr/local/bin/clamscan.sh
##配置扫描文件
vim /usr/local/clamscan.sh
clamscan -r -i /home  --move=/opt/infected  -l /var/log/clamscan.log

看完点赞关注不迷路!!! 后续继续更新优质安全内容!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/532569.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ag 搜索工具参数详解

ag 搜索工具参数详解

ag 搜索工具参数详解 Ag 是类似ack, grep的工具,它来在文件中搜索相应关键字。 官方列出了几点选择它的理由: 它比ack还要快 (和grep不在一个数量级上)它会忽略.gitignore和.hgignore中的匹配文件如果有你想忽略的文…
阅读更多...
CVE-2013-4547 文件名逻辑漏洞

CVE-2013-4547 文件名逻辑漏洞

搭建环境,访问 8080 端口 漏洞说明: Nginx: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强&#xf…
阅读更多...
CMake指令入门 ——以构建OpenCV项目为例

CMake指令入门 ——以构建OpenCV项目为例

CMake指令入门 ——以构建OpenCV项目为例 转自:https://blog.csdn.net/sandalphon4869/article/details/100589747 一、安装 sudo apt-get install cmake安装好后,输入 cmake -version如果出现了cmake的版本显示,那么说明安装成功 二、c…
阅读更多...
CVE-2017-7529Nginx越界读取缓存漏洞POC

CVE-2017-7529Nginx越界读取缓存漏洞POC

漏洞影响 低危,造成信息泄露,暴露真实ip等 实验内容 漏洞原理 通过查看patch确定问题是由于对http header中range域处理不当造成,焦点在ngx_http_range_parse 函数中的循环: HTTP头部range域的内容大约为Range: bytes4096-81…
阅读更多...
Linux命令行性能监控工具大全

Linux命令行性能监控工具大全

Linux命令行性能监控工具大全 作者:Arnold Lu 原文:https://www.cnblogs.com/arnoldlu/p/9462221.html 关键词:top、perf、sar、ksar、mpstat、uptime、vmstat、pidstat、time、cpustat、munin、htop、glances、atop、nmon、pcp-gui、collect…
阅读更多...
Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 CVE-2020-2883 CVE-2020-14645】

Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 CVE-2020-2883 CVE-2020-14645】

给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 ## 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAV…
阅读更多...
Getshell总结

Getshell总结

按方式分类: 0x01注入getshell: 0x02 上传 getwebshell 0x03 RCE getshell 0x04 包含getwebshell 0x05 漏洞组合拳getshell 0x06 系统层getcmdshell 0x07 钓鱼 getcmdshell 0x08 cms后台getshell 0x09 红队shell竞争分析 0x01注入getshell:…
阅读更多...
编写可靠bash脚本的一些技巧

编写可靠bash脚本的一些技巧

编写可靠bash脚本的一些技巧 原作者:腾讯技术工程 原文链接:https://zhuanlan.zhihu.com/p/123989641 写过很多 bash 脚本的人都知道,bash 的坑不是一般的多。 其实 bash 本身并不是一个很严谨的语言,但是很多时候也不得不用。以下…
阅读更多...
python 到 poc

python 到 poc

0x01 特殊函数 0x02 模块 0x03 小工具开发记录 特殊函数 # -*- coding:utf-8 -*- #内容见POC.demo; POC.demo2 ;def add(x,y):axyprint(a)add(3,5) print(------------引入lambad版本:) add lambda x,y : xy print(add(3,5)) #lambda函数,在lambda函数后面直接…
阅读更多...
protobuf版本常见问题

protobuf版本常见问题

protobuf版本常见问题 许多软件都依赖 google 的 protobuf,我们很有可能在安装多个软件时重复安装了多个版本的 protobuf,它们之间很可能出现冲突并导致在后续的工作中出现版本不匹配之类的错误。本文将讨论笔者在使用 protobuf 中遇到的一些问题&#…
阅读更多...
CMake常用命令整理

CMake常用命令整理

CMake常用命令整理 转自:https://zhuanlan.zhihu.com/p/315768216 CMake 是什么我就不用再多说什么了,相信大家都有接触才会看一篇文章。对于不太熟悉的开发人员可以把这篇文章当个查找手册。 1.CMake语法 1.1 指定cmake的最小版本 cmake_minimum_r…
阅读更多...
CVE-2021-41773 CVE-2021-42013 Apache HTTPd最新RCE漏洞复现 目录穿越漏洞

CVE-2021-41773 CVE-2021-42013 Apache HTTPd最新RCE漏洞复现 目录穿越漏洞

给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! CVE-2021-41773漏洞描述: Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披…
阅读更多...
SSRF,以weblogic为案例

SSRF,以weblogic为案例

给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 复习一下ssrf的原理及危害,并且以weblog的ssrf漏洞为案例 漏洞原理 SSRF(Server-side Request Forge, 服务端请求伪造) 通常用于控制web进而…
阅读更多...
C++11 右值引用、移动语义、完美转发、万能引用

C++11 右值引用、移动语义、完美转发、万能引用

C11 右值引用、移动语义、完美转发、引用折叠、万能引用 转自:http://c.biancheng.net/ C中的左值和右值 右值引用可以从字面意思上理解,指的是以引用传递(而非值传递)的方式使用 C 右值。关于 C 引用,已经在《C引用…
阅读更多...
C++11 std::function, std::bind, std::ref, std::cref

C++11 std::function, std::bind, std::ref, std::cref

C11 std::function, std::bind, std::ref, std::cref 转自&#xff1a;http://www.jellythink.com/ std::function 看看这段代码 先来看看下面这两行代码&#xff1a; std::function<void(EventKeyboard::KeyCode, Event*)> onKeyPressed; std::function<void(Ev…
阅读更多...
Java安全(一) : java类 | 反射

Java安全(一) : java类 | 反射

给个关注&#xff1f;宝儿&#xff01; 给个关注&#xff1f;宝儿&#xff01; 给个关注&#xff1f;宝儿&#xff01; 1.java基础 Java平台共分为三个主要版本Java SE&#xff08;Java Platform, Standard Edition&#xff0c;Java平台标准版&#xff09;、Java EE&#xff0…
阅读更多...
LeetCode-287 寻找重复数 二分法

LeetCode-287 寻找重复数 二分法

LeetCode-287 寻找重复数 二分法 287. 寻找重复数 给定一个包含 n 1 个整数的数组 nums &#xff0c;其数字都在 1 到 n 之间&#xff08;包括 1 和 n&#xff09;&#xff0c;可知至少存在一个重复的整数。 假设 nums 只有 一个重复的整数 &#xff0c;找出 这个重复的数 。…
阅读更多...
对某公司一次弱口令到存储型xss挖掘

对某公司一次弱口令到存储型xss挖掘

转自我的奇安信攻防社区文章:https://forum.butian.net/share/885 免责声明: 渗透过程为授权测试,所有漏洞均以提交相关平台,博客目的只为分享挖掘思路和知识传播** 涉及知识: xss注入及xss注入绕过 挖掘过程: 某次针对某目标信息搜集无意发现某工程公司的项目招标平台 …
阅读更多...
C++11新特性选讲 语言部分 侯捷

C++11新特性选讲 语言部分 侯捷

C11新特性选讲 语言部分 侯捷 本课程分为两个部分&#xff1a;语言的部分和标准库的部分。只谈新特性&#xff0c;并且是选讲。 本文为语言部分笔记。 语言 Variadic Templatesmove semanticsautoRange-based for loopInitializer listLambdas… 标准库 type_traitsunodered…
阅读更多...
java安全(二):JDBC|sql注入|预编译

java安全(二):JDBC|sql注入|预编译

给个关注&#xff1f;宝儿&#xff01; 给个关注&#xff1f;宝儿&#xff01; 给个关注&#xff1f;宝儿&#xff01; 1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通…
阅读更多...
最新文章

Copyright @ 2022~2023