Kswapd0挖矿病毒查杀

机器负载异常,刚重启过后CPU占用就快速上升至接近100%,且存在网络滥用的情况。使用top显示kswapd0进程疯狂占用cpu,google后有人说是linux虚拟内存的问题,但是系统刚开机,内存基本空闲,只是cpu疯狂被占用,这种说法明显有问题,继续排查后,我发现这个程序和一个名叫WachtdogsMiner的挖矿蠕虫和两个荷兰IP有关

查找病毒

  1. 使用top命令查看
Kswapd0挖矿病毒查杀
  1. 使用netstat查看外部链接
Kswapd0挖矿病毒查杀

进行查杀

  1. 查看病毒文件所在位置
[root@localhost ~]# ls -l /proc/2180/exe
lrwxrwxrwx 1 root root 0 Jun 25 15:02 /proc/2180/exe -> /root/.configrc/a/kswapd0
[root@localhost ~]# cd .configrc/
[root@localhost .configrc]# ll
total 8
drwxr-xr-x 2 root root  88 Jun 25 10:07 a
drwxr-xr-x 2 root root  60 Jun 25 10:07 b
-rw-r--r-- 1 root root 250 Jun 24 20:14 cron.d
-rw-r--r-- 1 root root  16 Jun 24 20:14 dir2.dir
[root@localhost .configrc]# ll a
total 3996
-rwxrwxrwx 1 root root     876 Jun 24 20:14 a
-rw-r--r-- 1 root root       1 Jun 25 10:07 bash.pid
-rwxrwxrwx 1 root root      18 Jun 25 10:07 dir.dir
-rwxrwxrwx 1 root root 4064664 Jun 24 20:14 kswapd0
-rwxrwxrwx 1 root root     227 Jun 24 20:14 run
-rwxrwxrwx 1 root root     599 Jun 24 20:14 stop
-rwxrwxrwx 1 root root     187 Jun 24 20:14 upd
[root@localhost .configrc]# ll b
total 64
-rwxr-xr-x 1 root root   157 Jun 24 20:14 a
-rw-r--r-- 1 root root    18 Jun 24 20:14 dir.dir
-rwxr-xr-x 1 root root 47415 Jun 24 20:14 run
-rwxr-xr-x 1 root root   943 Jun 24 20:14 stop
-rwxr--r-- 1 root root    37 Jun 24 20:14 sync
  1. 查看计划任务
[root@localhost a]# crontab -l
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1  
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1
  1. 结束进程
[root@localhost .configrc]# kill -9 2180
  1. 删除病毒创建的计划任务
[root@localhost .configrc]# crontab -e

1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X20-unix/.rsync/c/aptitude>/dev/null 2>&1

病毒传播及运行机制

据大神分析,该病毒为WachtdogsMiner挖矿蠕虫病毒的一个变种,该病毒会伪装成dota2游戏组件等程序,通过ssh爆破传播到服务器中,病毒会隐藏在用户目录下的隐藏文件夹中,伪装成kswapd0进程利用cpu挖门罗币。

Kswapd0挖矿病毒查杀

预防措施

  • 多巡查下服务器,看看是否存在异常负载的行为
  • 加固密码

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/5148

(1)
郭靖的头像郭靖
上一篇 2022年6月25日 下午4:13
下一篇 2022年6月25日 下午6:08

相关推荐

  • 缩小vhdx文件的大小

    使用 Hyper-V 提供的 Optimize-VHD 进行缩小,执行之后 VHDX 文件的确是变小了,但是也还没有那么小 此时应进入到 WSL2 中,运行 zerofree 将 ext4 文件系统内已经不用的块填零,但 zerofree 不能运行在已经挂载为 rw 的文件系统上,那就把文件系统挂载为 rea…

    2023年7月21日
    89200
  • GLIBC修复笔记,学会这些让你更快的解决系统问题

    公司环境有台机器硬盘故障,需要安装Megacli工具进系统查看raid信息,在Ubuntu20.04安装Megacli解决依赖过程中失误将高版本的libtinfo包装系统上了,导致系统报Glibc对应的版本没有找到,系统实际Glibc的版本是2.31。 背景 公司环境有台机器硬盘故障,需要安装megacli工具进系统查看raid信息,在ubuntu20.04…

    2023年12月7日
    45100
  • CentOS 修改 SSH无操作自动断开时长及连接超时

    CentOS 修改 SSH无操作自动断开时长 当 SSH 连接到 CentOS 服务器时, 如果一段时间不操作, SSH 会自动断开。 这时, 可修改配置增加连接时长。 一、修改配置 在配置中找到 修改为 ClientAliveInterval 指定了服务器端向客户端发送消息的间隔,默认 0 不发送消息。ClientAliveInterval 30…

    2023年2月20日
    1.5K00
  • rsync的搭建与使用

    rsync是数据镜像备份工具。使用快速增量备份工具Remote Sync可以远程同步,支持本地复制,或者与其他SSH、rsync主机同步。 已支持跨平台,可以在Windows与Linux间进行数据同步。 Ubuntu安装 Centos安装 基本用法 rsync语法有三种,分别是本地到本地形式Local to Local,本地到远程Local to Remot…

    2022年11月19日
    65000
  • linux之运维性能命令

    在 Linux 系统中,有许多命令和工具可以帮助运维人员监控系统状态、性能以及定位问题。以下是一些常用的运维相关命令: top: 如前所述,实时显示进程的资源占用情况。 htop: 类似于 top,但提供了一个更为用户友好的界面,支持颜色显示和滚动。 vmstat: 报告有关系统进程、内存、分页、块 IO、陷阱和 CPU 活动的信息。 iostat: 用于监…

    2024年7月3日
    88900

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信