检测过程:
1.找到他shell脚本对应目录把目录或者文件删除。
2.检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。
3.添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
4.排查liunx命令是否损坏,如损坏下载”procps-3.2.8″并编译,恢复top等系列命令
5.检测进程是否异常
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的网站程序是否存在漏洞,并排查下nginx或者apache日志审查漏洞所在处
7.排查ssh登录日志
8.把ssh登录切换成秘钥登录
9.重启服务器,检查是否进程是否正常
三、排查处理过程
使用htop查看进程是否异常:
发现 /usr/bin/pamdicks 此文件运行CPU达到100%。
查看定时任务是否存在文件:
crontab -l
清空定时任务并且分析木马脚本:
crontab -r
分析木马脚本:
第6行-第7行 给予权限并运行 pamdicks。
第12行-第20行 判断是Ubuntu系统还是Centos系统,并且安装软件
第22行-第28行 查看进程并终止进程
第29行-第34行 强制关闭进程
第35行-第48行 给木马文件加锁,禁止移动木马文件
第50行-第66行 远程下载木马文件
添加hosts防止二次下载:
echo -e “\n0.0.0.0 a.powreofwish.com” >> /etc/hosts
查看异常进程的进程号关闭进程:
kill -9 548
删除挖矿木马脚本应用:
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
pkill pamdicks
rm -rf /usr/bin/pamdicks
rm -rf /var/lib/cc
rm -rf /tmp/kdevtmpfsi
重启服务器,并且检测进程是否异常
最后服务器恢复正常。
挖矿病毒源码是加过壳的,正在解析中
