投稿
  1. 3A网络资讯门户首页
  2. 系统运维
  3. Linux系统

Kswapd0挖矿病毒查杀

郭靖 Linux系统 阅读 1536

机器负载异常,刚重启过后CPU占用就快速上升至接近100%,且存在网络滥用的情况。使用top显示kswapd0进程疯狂占用cpu,google后有人说是linux虚拟内存的问题,但是系统刚开机,内存基本空闲,只是cpu疯狂被占用,这种说法明显有问题,继续排查后,我发现这个程序和一个名叫WachtdogsMiner的挖矿蠕虫和两个荷兰IP有关

查找病毒

  1. 使用top命令查看
Kswapd0挖矿病毒查杀
  1. 使用netstat查看外部链接
Kswapd0挖矿病毒查杀

进行查杀

  1. 查看病毒文件所在位置
[root@localhost ~]# ls -l /proc/2180/exe
lrwxrwxrwx 1 root root 0 Jun 25 15:02 /proc/2180/exe -> /root/.configrc/a/kswapd0
[root@localhost ~]# cd .configrc/
[root@localhost .configrc]# ll
total 8
drwxr-xr-x 2 root root  88 Jun 25 10:07 a
drwxr-xr-x 2 root root  60 Jun 25 10:07 b
-rw-r--r-- 1 root root 250 Jun 24 20:14 cron.d
-rw-r--r-- 1 root root  16 Jun 24 20:14 dir2.dir
[root@localhost .configrc]# ll a
total 3996
-rwxrwxrwx 1 root root     876 Jun 24 20:14 a
-rw-r--r-- 1 root root       1 Jun 25 10:07 bash.pid
-rwxrwxrwx 1 root root      18 Jun 25 10:07 dir.dir
-rwxrwxrwx 1 root root 4064664 Jun 24 20:14 kswapd0
-rwxrwxrwx 1 root root     227 Jun 24 20:14 run
-rwxrwxrwx 1 root root     599 Jun 24 20:14 stop
-rwxrwxrwx 1 root root     187 Jun 24 20:14 upd
[root@localhost .configrc]# ll b
total 64
-rwxr-xr-x 1 root root   157 Jun 24 20:14 a
-rw-r--r-- 1 root root    18 Jun 24 20:14 dir.dir
-rwxr-xr-x 1 root root 47415 Jun 24 20:14 run
-rwxr-xr-x 1 root root   943 Jun 24 20:14 stop
-rwxr--r-- 1 root root    37 Jun 24 20:14 sync
  1. 查看计划任务
[root@localhost a]# crontab -l
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1
  1. 结束进程
[root@localhost .configrc]# kill -9 2180
  1. 删除病毒创建的计划任务
[root@localhost .configrc]# crontab -e

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1

病毒传播及运行机制

据大神分析,该病毒为WachtdogsMiner挖矿蠕虫病毒的一个变种,该病毒会伪装成dota2游戏组件等程序,通过ssh爆破传播到服务器中,病毒会隐藏在用户目录下的隐藏文件夹中,伪装成kswapd0进程利用cpu挖门罗币。

Kswapd0挖矿病毒查杀

预防措施

  • 多巡查下服务器,看看是否存在异常负载的行为
  • 加固密码

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/5148

(1)
郭靖的头像郭靖
0 0
上一篇 2022年6月25日 下午4:13
下一篇 2022年6月25日 下午6:08

相关推荐

  • Ubuntu20.04 Server版安装图形界面并使用VNC实现远程桌面 Linux系统

    Ubuntu20.04 Server版安装图形界面并使用VNC实现远程桌面

    一:Ubuntu端 1、进行VNC设置之前,需要有图形界面,没有的可以执行以下代码安装图形界面 2、如上图所示运行后进入安装程序,进入GUI界面,通过控制“↑”“↓” 找到Ubuntu desktop按空格键选中,再按Tab键跳到OK选项回车!此处等待时间较长,然后重启开机,开机若未进入图形界面则需查看第四步是否配置完成,若未完成则需要再次执行此步骤。成功后…

    安屠生的头像 安屠生
    2022年7月12日
    5.7K00
  • Pmail——仅用一分钟就可以搭建好一个邮箱服务器 Linux系统

    Pmail——仅用一分钟就可以搭建好一个邮箱服务器

    有一个自己的邮箱,是不是光想着就觉得很酷。在之前,我介绍过一个邮箱poste.io 的搭建过程。虽然说是用docker但是其实搭建起来还是挺麻烦的。今天再来介绍一个搭建简单的邮局系统 pmail。 项目的优势: 1、部署简单 2、资源占用极小 编译后二进制文件仅15MB,运行过程中占用内存10M以内。 3、安全方面 支持dkim、spf校验。正确配置的情况下…

    凯影的头像 凯影
    2024年7月2日
    3.6K00
  • Linux系统下配置双网卡只能ping通一个解决方案 Linux系统

    Linux系统下配置双网卡只能ping通一个解决方案

    解决办法:第一步:找到两块网卡名称,再执行关闭反向路由检查(命令中第二及第三项根据实际网卡名来替换) 第二步:配置完之后你会发现双IP都能ping通了,但如服务器重启后将会默认开启,所以还要执行下一步骤来防止每次开机自动关闭反向路由检查,将以上命令加入 /etc/rc.local 即可。 其他:如涉及到此文件权限可以给/etc/rc.local文件添加执行权…

    郭靖的头像 郭靖
    2023年5月5日
    2.4K00
  • 二进制部署Mysql8.0.31 Linux系统

    二进制部署Mysql8.0.31

    二进制部署Mysql8.0.31 一、软件包下载 企业版:Enterprise , 互联网行业一般不选择. 社区版本:选择 源码包 编译安装: source code .tar.gz 通用二进制 公司用什么版本数据库? 具体什么小版本号? 5.6.20 5.6.34 5.6.36 5.6.38 5.6.40 5.7.18 5.7.20 5.7.22 5.7.…

    卡萨丁, 卡莎的头像 卡萨丁, 卡莎
    2023年1月20日
    1.3K00
  • linux centOS虚拟机出现entering emergency mode解决方案 Linux系统

    linux centOS虚拟机出现entering emergency mode解决方案

    1、centos打开之后出现这个问题,迟迟打不开 按他的操作输入journalctl之后输入shift+g到日志最后查看报错发现是xfs(dm-0有问题) 输入xfs_repair -v -L /dev/dm-0因此修复 /dev/dm-0就可以了 -L 选项指定强制日志清零,强制xfs_repair将日志归零,即使它包含脏数据(元数据更改)。 #重启虚拟机…

    凯影的头像 凯影
    2024年1月11日
    1.3K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信