投稿
  1. 3A网络资讯门户首页
  2. 系统运维
  3. Linux系统

Kswapd0挖矿病毒查杀

郭靖 Linux系统 阅读 1680

机器负载异常,刚重启过后CPU占用就快速上升至接近100%,且存在网络滥用的情况。使用top显示kswapd0进程疯狂占用cpu,google后有人说是linux虚拟内存的问题,但是系统刚开机,内存基本空闲,只是cpu疯狂被占用,这种说法明显有问题,继续排查后,我发现这个程序和一个名叫WachtdogsMiner的挖矿蠕虫和两个荷兰IP有关

查找病毒

  1. 使用top命令查看
Kswapd0挖矿病毒查杀
  1. 使用netstat查看外部链接
Kswapd0挖矿病毒查杀

进行查杀

  1. 查看病毒文件所在位置
[root@localhost ~]# ls -l /proc/2180/exe
lrwxrwxrwx 1 root root 0 Jun 25 15:02 /proc/2180/exe -> /root/.configrc/a/kswapd0
[root@localhost ~]# cd .configrc/
[root@localhost .configrc]# ll
total 8
drwxr-xr-x 2 root root  88 Jun 25 10:07 a
drwxr-xr-x 2 root root  60 Jun 25 10:07 b
-rw-r--r-- 1 root root 250 Jun 24 20:14 cron.d
-rw-r--r-- 1 root root  16 Jun 24 20:14 dir2.dir
[root@localhost .configrc]# ll a
total 3996
-rwxrwxrwx 1 root root     876 Jun 24 20:14 a
-rw-r--r-- 1 root root       1 Jun 25 10:07 bash.pid
-rwxrwxrwx 1 root root      18 Jun 25 10:07 dir.dir
-rwxrwxrwx 1 root root 4064664 Jun 24 20:14 kswapd0
-rwxrwxrwx 1 root root     227 Jun 24 20:14 run
-rwxrwxrwx 1 root root     599 Jun 24 20:14 stop
-rwxrwxrwx 1 root root     187 Jun 24 20:14 upd
[root@localhost .configrc]# ll b
total 64
-rwxr-xr-x 1 root root   157 Jun 24 20:14 a
-rw-r--r-- 1 root root    18 Jun 24 20:14 dir.dir
-rwxr-xr-x 1 root root 47415 Jun 24 20:14 run
-rwxr-xr-x 1 root root   943 Jun 24 20:14 stop
-rwxr--r-- 1 root root    37 Jun 24 20:14 sync
  1. 查看计划任务
[root@localhost a]# crontab -l
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1
  1. 结束进程
[root@localhost .configrc]# kill -9 2180
  1. 删除病毒创建的计划任务
[root@localhost .configrc]# crontab -e

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1

病毒传播及运行机制

据大神分析,该病毒为WachtdogsMiner挖矿蠕虫病毒的一个变种,该病毒会伪装成dota2游戏组件等程序,通过ssh爆破传播到服务器中,病毒会隐藏在用户目录下的隐藏文件夹中,伪装成kswapd0进程利用cpu挖门罗币。

Kswapd0挖矿病毒查杀

预防措施

  • 多巡查下服务器,看看是否存在异常负载的行为
  • 加固密码

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/5148

(1)
郭靖的头像郭靖
0 0
上一篇 2022年6月25日 下午4:13
下一篇 2022年6月25日 下午6:08

相关推荐

  • Centos7忘记root密码怎么办 Linux系统

    Centos7忘记root密码怎么办

    重启linux,进入系统的GRUB菜单界面,选择最下方的,按下小写字母e进入编辑界面 按下方向键,找到以字符串Linux16开头的行,光标移动到结尾,然后输入init=/bin/bash enforcing=0 代表登录系统后,加载bash解释器,然后关闭selinux 按下ctrl+x组合键以单用户模式启动Linux 输入如下命令,重新挂载根目录,进入可写…

    郭靖的头像 郭靖
    2022年6月11日
    1.7K00
  • systemd:实现 Linux 服务 Crash 后自动重启systemd: Linux系统

    systemd:实现 Linux 服务 Crash 后自动重启systemd:

    Systemd 允许你对服务进行配置,以便在服务崩溃时自动重启。 一个典型的单元文件是这样的: 在上面的例子中,如果守护进程崩溃或被杀死,systemd 不会去管它。 不过,你可以让 systemd 自动重启守护进程,以防它崩溃或意外被杀掉。为此,你可以在 [Service] 中添加 Restart 选项。典型的示例如…

    郭靖的头像 郭靖
    2023年8月14日
    2.8K00
  • ESXI6.7物理机安装之网卡驱动封装 Linux系统

    ESXI6.7物理机安装之网卡驱动封装

    原因: 下载好ESXI6.7.iso镜像,写入U盘后,提示No Network Adapters,找不到网卡驱动。 解决办法:         需要重新封装ESXI,将对应的网卡驱动嵌入进来 我这里先提供一个封装好的,瑞昱r8168网卡定制版ESXI6.7下载:https://pan.baidu.c…

    卡萨丁, 卡莎的头像 卡萨丁, 卡莎
    2023年1月20日
    1.7K00
  • Centos如何通过Nexus代理yum源 Linux系统

    Centos如何通过Nexus代理yum源

    一 背景 公司的某些服务器不允许连接外网,造成这些服务器需要安装软件时非常不方便,此文章则是介绍如何通过Nexus3.x代理yum源,做到通过yum install来安装软件。 二 创建yum代理仓库 三 服务器上增加yum源 四 Yum安装软件

    郭靖的头像 郭靖
    2023年5月15日
    2.0K00
  • Ubuntu20.04 Server版安装图形界面并使用VNC实现远程桌面 Linux系统

    Ubuntu20.04 Server版安装图形界面并使用VNC实现远程桌面

    一:Ubuntu端 1、进行VNC设置之前,需要有图形界面,没有的可以执行以下代码安装图形界面 2、如上图所示运行后进入安装程序,进入GUI界面,通过控制“↑”“↓” 找到Ubuntu desktop按空格键选中,再按Tab键跳到OK选项回车!此处等待时间较长,然后重启开机,开机若未进入图形界面则需查看第四步是否配置完成,若未完成则需要再次执行此步骤。成功后…

    安屠生的头像 安屠生
    2022年7月12日
    6.1K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信