记一次挖矿病毒应急

接到客户通知发现服务器疑似存在挖矿病毒,相关服务器为自行搭建。自服务器出现异常后出现服务器无法登录现象。

排查处置过程

1、登录服务器,通过top查看服务器资源情况,发现cpu被恶意进程-bash占用超过1700%,十分异常。

2、同时,对恶意进程进行kill,发现进程立即重新启动,病毒的顽固特征明显。

3、通过排查进程和定时任务、守护进程等,发现定时任务crond中存在疑似恶意文件,发现该文件创建于2023年2月26日凌晨,会导致系统文件/bin/bash会被覆盖改写,并与内网主机的10.12.96.123的33000端口连接通信。通过与服务器运维人员确认,该脚本文件非业务使用,确定为可疑文件。

4、通过定时任务脚本特征进行搜索,发现其属于pwnrig挖矿病毒家族,符合其程序特征。

处置过程:

1、在通过find / -name *pwnrig* 进行查找相关病毒文件信息,通过rm -rf清除时存在文件权限无法删除的情况,需要使用chattr命令先对病毒文件权限进行清理。

2、然后对残留的相关病毒文件进行进一步清除。

3、最后服务器的资源使用情况恢复正常。

相关推荐
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手14 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub14 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux14 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc14 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing14 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
Chengbei1114 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
X7x514 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型
Inhand陈工14 天前
污水泵站PLC数据上云实战:西门子PLC + 映翰通IG502 + DM平台全流程
人工智能·物联网·网络安全·阿里云·信息与通信·iot
X7x514 天前
一文讲透PADIMEE模型
网络安全·网络攻击模型·安全威胁分析·安全架构·padimee模型