本文主要是介绍centos清理挖矿病毒[crypto][pnscan],希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
centos清理挖矿病毒[crypto][pnscan]
新买的云服务器cpu占用100%,瞬间想到挖矿木马。
排查过程如下:
1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了
3、想到使用chattr -i /usr/bin/netstat,但提示没权限,执行lsattr命令后,发现其被赋予了i属性,不可修改
4、自己重新编译chattr
wget https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c
gcc chattr.c -o chattr
rm /usr/bin/chattr
cp chattr /usr/bin/
chattr -ia /usr/bin/netstat
chmod +x /usr/bin/netstat
发现名为[crypto],[pnscan]的进程可疑,查一下它访问的ip地址,发现是美国的,基本就是他了
whereis crypto
whereis pnscan
删掉源文件
rm usr/local/bin/pnscan
rm -rf /usr/share/[crypto]*
根据netstat -anptl
杀掉crypto,pnscan所有进程
查看定时任务
crontab -l
清理所有定时任务
中毒原因分析:
redis没设置密码,大意了,服务器忘了关闭redis端口了
原文地址http://www.wityx.com/post/2068_1_1.html
这篇关于centos清理挖矿病毒[crypto][pnscan]的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
