挖矿病毒消灭记

· 浏览次数 : 0

小编点评

## 挖矿病毒分析报告 **问题描述:** 我接上篇《挖矿病毒消灭记》后,收到了一条短信,导致我的服务器在外面运行的程序被挖矿病毒感染。 **分析步骤:** 1. **全局搜索xmrig:** 我在系统中搜索了xmrig,但没有找到任何与挖矿病毒相关的结果。 2. **查看crontab定时任务:** 我检查了我的crontab定时任务,没有发现任何与挖矿病毒相关的异常。 3. **查看syncnet文件:** 我查看了阿里云的syncnet文件,发现其内容全是二进制文件,没有发现任何与挖矿病毒相关的恶意代码。 4. **尝试拉取远程jdk17:** 我尝试拉取最近版本的jdk17,并将其安装到服务器上。 5. **分析日志文件:** 我查看了系统日志文件,没有发现任何与挖矿病毒相关的异常。 6. **设置服务器暴露端口号:** I修改了服务器的暴露端口号,使其不在可被攻击范围内。 7. **执行恶意脚本:** 我查看了/home/sadmin/jenkins/logs/application/xxx-core/gluesource/文件,发现其中有一条名为.00.sh的脚本,它用于下载恶意软件。 8. **分析恶意脚本:** 我分析了.00.sh脚本,发现它执行了对容器中的所有用户执行命令的代码。 9. **定位攻击源:** 通过分析恶意脚本,我发现攻击源是两个其他恶意脚本:gluesource.sh和.00.sh。 10. **解决问题:** 我百度了“gluesource病毒”,发现这位老哥已经分享了相关知识。根据老哥的建议,我修改了服务器的暴露端口号和指定ip访问,并重启服务器。 11. **观察攻击进程:** 我设置了观察两个恶意脚本执行的进程,并在它们执行完成后记录下日志信息。 **结论:** 通过以上分析,我发现我的服务器被黑客感染了gluesource病毒,并通过恶意脚本向所有用户执行了命令。

正文

参考:https://blog.csdn.net/qq_59201520/article/details/129816447
接上篇《挖矿病毒消灭记》传送门

项目场景:

叮咚,一条短信打破了安静平和的氛围。
image

啊?咋又被挖矿了,现在在外面,回头要赶紧把进程关了


问题描述

回到家赶紧打开电脑输入命令行top,果然不出所料cpu飙升到200%,找到pid,然后kill -9 pid号


过程分析:

提示:这里填写问题的分析:

首先按照之前的经验我先全局搜索了xmrig,find / -name "*xmrig*"然而一无所获。
接着我去我的crontab定时任务看看,也没有啥异常啊
再看了下阿里云告诉我的
image
看了下syncnet文件,里面全是二进制文件,感觉看不出啥,于是我在想是不是每次发项目时候拉了远程的jdk17,那里面有病毒?抱着怀疑的想法周一在公司搞了一上午没有太大进展,通过clamav也没查出来啥,我甚至还拟定了服务器维护计划,如下

  1. 换我服务器的暴露端口号
  2. 使用本地image
  3. 换redis密码
  4. 禁用root登录
  5. clamav安装
  6. 木马查杀
    下午时候先看看别的报警吧,有多少要修复的给自己心里有点数。
    看了下“可疑”这个tab,出现了一个可疑下载,再细致一看,
    image

怎么是我的项目java -jar xxx.jar里面触发的,这个意思是我项目一启动就触发了这个下载,这下载的是啥,追到容器里,根据路径打开这个sh脚本
image

是下载的一个sh脚本,并重命名成.00.sh放到了/tmp下,跟着去看下这里面写的什么
image
我去,这特么不就是阿里报给我的门罗币么,感觉找到问题根源了~
再回看下其他两个sh脚本里写的啥
image
说白了就是给这个挖矿脚本铺路的,好了根源就是这些脚本,那为啥我的服务器会有这些sh脚本呢,哪里来的呢,我平时也没下什么东西到服务器上啊。
看了下这个路径/home/sadmin/jenkins/logs/application/xxx-core/gluesource/很显然这路径跟xxl跑不了干系,对比了下我配置xxl的logPath路径,咦,发现这个多了个gluesource这个文件夹,攻击脚本就是在这个文件夹里头的,


解决方案:

于是我百度了下“gluesource病毒”找到这位老哥的文章传送门,哦原来是xxl有个漏洞,黑客可能通过这个漏洞攻击了我xxl服务器,看老哥的建议说换个端口号和指定ip访问,看了下阿里云那果然之前设置的是0.0.0.0,修改成我的服务器ip,重启下,再进容器到/home/sadmin/jenkins/logs/application/xxx-core/gluesource/里面没有执行脚本了,emmm就先放两天观察观察,特记录下

与挖矿病毒消灭记相似的内容:

挖矿病毒消灭记

参考:https://blog.csdn.net/qq_59201520/article/details/129816447 接上篇《挖矿病毒消灭记》传送门 项目场景: 叮咚,一条短信打破了安静平和的氛围。 啊?咋又被挖矿了,现在在外面,回头要赶紧把进程关了 问题描述 回到家赶紧打开电脑输入命令行t

挖矿僵尸网络蠕虫病毒kdevtmpfsi处理过程(包含部分pgsql线程池满的情况)

pgsql连接池没解决呢, 结果kdevtmpfsi挖矿病毒冒出来了!!!

nomp矿池源码详解

是一个由Node.js编写的高效、可扩展的加密货币挖矿池,它基于node-stratum-pool模块,包含奖励处理与支付功能以及一个响应式前端网站,提供实时统计和管理中心,本文对该项目的主体架构及相关源码进行了介绍!

重构代码的一些想法

重构代码的一些想法 模块设计 需要明确服务的核心功能 执行时机(被谁驱动) 执行内容 和非核心功能的关系 从模块话的角度看,这三个部分其实都可以独立实现,这样更利于单元测试用例的编写,扎实的单元测试覆盖率大大提高对稳定性的信心。 执行时机一般都是外部驱动,如收到任务、请求甚至内部定时器驱动。 核心功

Go 使用原始套接字捕获网卡流量

Go 使用原始套接字捕获网卡流量 Go 捕获网卡流量使用最多的库为 github.com/google/gopacket,需要依赖 libpcap 导致必须开启 CGO 才能够进行编译。 为了减少对环境的依赖可以使用原始套接字捕获网卡流量,然后使用 gopacket 的协议解析功能,这样就省去了解析

Go 如何对多个网络命令空间中的端口进行监听

Go 如何对多个网络命令空间中的端口进行监听 需求为 对多个命名空间内的端口进行监听和代理。 刚开始对 netns 的理解不够深刻,以为必须存在一个新的线程然后调用 setns(2) 切换过去,如果有新的 netns 那么需要再新建一个线程切换过去使用,这样带来的问题就是线程数量和 netns 的数

模板特化的多维度挖掘

假如我有一个需求,就是如果传入的参数是int类型,我就输出int类型,否则就输出T。很显然,根据模板的基础知识,我们可以这么写 template void f(T) { std::cout << "T\n"; } template <> void f(int) { std::co

数据价值深度挖掘,分析服务上线“探索”能力

近日,华为分析服务6.9.0版本发布,正式上线探索能力。开发者可自由定义与配置分析模型,支持报告实时预览,数据洞察体验更加灵活与便捷。 新上线的探索能力中,有漏斗分析、事件归因、会话路径分析三个高级分析模型。在原有能力的基础上,时效性进一步增强,开发者在完成配置与报告创建后,即能查看具体内容。通过低

4.1 探索LyScript漏洞挖掘插件

在第一章中我们介绍了`x64dbg`这款强大的调试软件,通过该软件逆向工程师们可以手动完成对特定进程的漏洞挖掘及脱壳等操作,虽然`x64dbg`支持内置`Script`脚本执行模块,但脚本引擎通常来说是不够强大的,LyScript 插件的出现填补了这方面的不足,该插件的开发灵感来源于`Immunity`调试器中的`ImmLib`库,因`Immunity`调试器继承自`Ollydbg`导致该调试器无

5.2 基于ROP漏洞挖掘与利用

通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这就给恶意代码的溢出提供了的条件,利用溢出攻击者可以控制程序的执行流,从而控制程序的执行过程并实施恶意行为,本章内容笔者通过自行编写了一个基于网络的FTP服务器,并特意布置了特定的漏洞,通过本章的学习,