查杀 libudev.so 和 XMR 挖矿程序记录

  • 时间:
  • 浏览:1
  • 来源:大发5分11选5_大发5分11选5官网

病毒的工作方式 和上5个 多是类事的,也是会加载5个 多任务,并启动多个守护进程,互相监控和保护,可是细节某些不同。

你还能否要删除病毒的启动脚本:

第二种病毒是门罗币(XMR)挖矿守护进程,门罗币似乎是今年年初涨得加快波特率,越来越来越来越多越来越来越来越多用病毒入侵挖矿的手法也就再次出现 了,病毒主可是通过下载脚本,运行后下载并启动挖矿守护进程来工作,脚本的内容如下,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里边讲的非常删剪。

最后,删掉 libudev.so ,再杀掉守护进程就是是否是大功告成了:

越来越来越来越多越来越来越来越多基础的安防工作还是要从以下十哪几个 方面入手:

你类事 脚本的内容最少是打开网卡,你还能否启动 libudev.so。

最后杀掉守护进程即可:

另外 /tmp 目录下也会有某些残留文件,一起删除吧:

病毒启动脚本中调用的可执行文件也要删掉,文件存倒入 /bin/usr/bin 目录下,和启动脚本的名字是一致的,另外我们 要留意一下与是是否是某些文件也被做了篡改,还能否 用时间倒序排列你类事 个多目录下的文件,日期很新的都很有你还能是否是被修改过的,都前要删除。下面你类事 例子中,dsxictdfoedxaj 文件明显可是有疑问报告 的。

/etc/cron.hourly/gcc.sh 内容如下:

你类事 病毒的社会形态还是很明显的,守护进程列表中会再次出现 越来越来越来越多越来越来越来越多名字很奇怪的守护进程,如下所示:

这五天使用的公网服务器被入侵了,你还能否感染了不止五种病毒:五种是 libudev.so,是 DDoS 的客户端,疑问报告 可是不停的向外网发包,也可是超目标发起 DDoS 攻击;另外五种是挖矿守护进程,除了发包之外,不会 造成很高的 CPU 负载。下面记录一下病毒的行为和查杀方式 。

该病毒定时任务是写进了文件:/var/spool/cron/root,前要对应删除里边的内容。

该守护进程不会 一起启动多个守护进程来监控 libudev.so 守护进程是是否是被杀掉,你还能否被关掉了,会再把 libudev.so 拉起来,你还能否你类事 监控守护进程为了外理备关掉,不会 不停的变换此人 的守护进程名和守护进程号,这就给查杀带来了更大的难度。

删除主守护进程的配置文件和可执行文件:

病毒在 /etc/cron.hourly/ 目录下产生的定时任务文件也要删掉,

除此之外不会 在修改 /etc/crontab 和新增文件 /etc/cron.hourly/gcc.sh 来启动定时任务。

本次有多台服务器感染病毒,造成了不小的影响,主要的疑问报告 与你还能否 root 用户使用了波特率较弱的口令,一起在公网暴露了 SSH 端口,另外虚拟机的基础镜像中就你还能否携带了病毒,造成每个产生的实例启动后都带上了病毒。

接下来外理病毒产生的自启动文件,注意:具体的文件名称你还能否会有所不同,我们 要根据此人 的情况报告对应修改,领外 /etc/rc*.d/ 的 S01* 文件删剪不会 指向 /etc/init.d/ 里的启动脚本的软链接,你还能是否是从 rc1.d 总爱到 rc5.d 中删剪不会 ,你还能是否是软链接,也还能否 越来越多删除。

你还能否定位病毒的主守护进程,这前要通过 top 命令查看,往往 CPU 占用率最高的守护进程可是了,在我的例子中 8421 可是。定位后让其暂停执行,这时网络发包就会停下来了,一起可是会再不停的生成新守护进程了。

删除某些病毒加进去去的文件:

首先删除 /etc/crontab 文件中的定时任务,并保护该文件不再被病毒修改:

找到病毒的主守护进程(找到主守护进程的方式 和完后 也差越来越来越来越多,找 CPU 占用率最高的守护进程就还能否 了。),并停掉: