Kswapd0挖矿病毒查杀

机器负载异常,刚重启过后CPU占用就快速上升至接近100%,且存在网络滥用的情况。使用top显示kswapd0进程疯狂占用cpu,google后有人说是linux虚拟内存的问题,但是系统刚开机,内存基本空闲,只是cpu疯狂被占用,这种说法明显有问题,继续排查后,我发现这个程序和一个名叫WachtdogsMiner的挖矿蠕虫和两个荷兰IP有关

查找病毒

  1. 使用top命令查看
Kswapd0挖矿病毒查杀
  1. 使用netstat查看外部链接
Kswapd0挖矿病毒查杀

进行查杀

  1. 查看病毒文件所在位置
[root@localhost ~]# ls -l /proc/2180/exe
lrwxrwxrwx 1 root root 0 Jun 25 15:02 /proc/2180/exe -> /root/.configrc/a/kswapd0
[root@localhost ~]# cd .configrc/
[root@localhost .configrc]# ll
total 8
drwxr-xr-x 2 root root  88 Jun 25 10:07 a
drwxr-xr-x 2 root root  60 Jun 25 10:07 b
-rw-r--r-- 1 root root 250 Jun 24 20:14 cron.d
-rw-r--r-- 1 root root  16 Jun 24 20:14 dir2.dir
[root@localhost .configrc]# ll a
total 3996
-rwxrwxrwx 1 root root     876 Jun 24 20:14 a
-rw-r--r-- 1 root root       1 Jun 25 10:07 bash.pid
-rwxrwxrwx 1 root root      18 Jun 25 10:07 dir.dir
-rwxrwxrwx 1 root root 4064664 Jun 24 20:14 kswapd0
-rwxrwxrwx 1 root root     227 Jun 24 20:14 run
-rwxrwxrwx 1 root root     599 Jun 24 20:14 stop
-rwxrwxrwx 1 root root     187 Jun 24 20:14 upd
[root@localhost .configrc]# ll b
total 64
-rwxr-xr-x 1 root root   157 Jun 24 20:14 a
-rw-r--r-- 1 root root    18 Jun 24 20:14 dir.dir
-rwxr-xr-x 1 root root 47415 Jun 24 20:14 run
-rwxr-xr-x 1 root root   943 Jun 24 20:14 stop
-rwxr--r-- 1 root root    37 Jun 24 20:14 sync
  1. 查看计划任务
[root@localhost a]# crontab -l
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1
  1. 结束进程
[root@localhost .configrc]# kill -9 2180
  1. 删除病毒创建的计划任务
[root@localhost .configrc]# crontab -e

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1

病毒传播及运行机制

据大神分析,该病毒为WachtdogsMiner挖矿蠕虫病毒的一个变种,该病毒会伪装成dota2游戏组件等程序,通过ssh爆破传播到服务器中,病毒会隐藏在用户目录下的隐藏文件夹中,伪装成kswapd0进程利用cpu挖门罗币。

Kswapd0挖矿病毒查杀

预防措施

  • 多巡查下服务器,看看是否存在异常负载的行为
  • 加固密码

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/5148

(1)
郭靖的头像郭靖
上一篇 2022年6月25日 下午4:13
下一篇 2022年6月25日 下午6:08

相关推荐

  • Docker部署MinIO对象存储服务器结合Cpolar实现远程访问

    前言MinIO是一个开源的对象存储服务器,可以在各种环境中运行,例如本地、Docker容器、Kubernetes集群等。它兼容Amazon S3 API,因此可以与现有的S3工具和库无缝集成。MinIO的设计目标是高性能、高可用性和可扩展性。它可以在分布式模式下运行,以满足不同规模的存储需求。 MinIO是一个开源的软件,可以免费使用,还可以在普通硬件上运行…

    2023年12月20日
    7100
  • Linux查看磁盘UUID的几种方式

    查看/dev/disk/by-uuid目录命令: 可以查看系统全部磁盘挂载信息 blkid命令命令: 也可以指定磁盘查看,命令: tune2fs和dumpe2fs配合grep命令: 修改磁盘挂载ID,可以参考:https://help.aliyun.com/document_detail/199739.html挂载磁盘千万不要使用 这种方式,linux系统从…

    2023年7月28日
    23300
  • centos 7 NTP 内网时间定时同步

    一、环境 二、ntp安装服务 server服务器配置: client服务器配置:(如果有多台client服务器,亦可如此配置) 四、启动NTP服务&开机启动设置(包括server服务器和client服务器) 五、server服务器防火墙配置 六、client服务器手动从server服务器进行时间同步 在server服务器上执行date命令,查看时间 …

    2023年6月14日
    18300
  • linux下如何mount挂载lvm磁盘

    磁盘如果是普通的分区,比如:ntfs、ext3等,可以直接用 mount -t <type>来制定文件系统类型来挂载,但有时候磁盘是采用的lvm卷的分区,要挂载这类磁盘,就应该按照以下方式: a. 扫描逻辑卷: b. 激活扫描到的卷: c. 挂载 注:/dev/VolGroup00文件夹下面可能会有几个:lvm_root、lvm_swap、lvm…

    2023年7月20日
    16100
  • Centos7 安装GUI图形界面-VNC远程连接

    VNC需要系统安装的有桌面,如果是生产环境服务器,安装时使用的最小化安装,那么进行下面操作按章GNOME 桌面。 # 列出的组列表里有GNOME Desktop。 #安装 # 安装完成后,修改默认启动方式为图形化界面 # 如果要换回来 #然后重启系统即可 ———————&#8…

    2023年5月11日
    30900

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信