阿里云挖矿病毒查杀二 - _Parry

panpan61803 2021-10-08 原文


阿里云挖矿病毒查杀二


今天gitlib服务变得 很慢,提交代码甚至失败,排除了下网络,最后登上机器 

登录特别慢,此时想到肯定是中毒了。top看了下。果不其然 【watchbog】cpu占用160%

随手杀了,几秒后又启动了。还是先查启动脚本吧

crontab -l 了下 果然有一个定时任务 

crontab -r  去掉了,再kill 掉进程

几秒后又变卡了。意识到还有其他 启动,得深入查下了

下载脚本下载的文件,是个base64加密串,解密后提取出ip

  1. ptpb.pw
  2. pastebin.com
  3. gitee.com 
  4. aziplcr72qjhzvin.onion.to

我们都给指定解析到本地

vim /etc/hosts

添加 一行 

  127.0.0.1   ptpb.pw pastebin.com  gitee.com  aziplcr72qjhzvin.onion.to

然后我再一个一个检查这几个定时任务

  1. /etc/cron.d
  2. /etc/cron.deny
  3. /etc/cron.monthly
  4. /etc/cron.daily
  5. /etc/cron.hourly
  6. /etc/crontab
  7. /etc/cron.weekly

删除掉新增的

最后还发现在新增了命令/bin/httpntp、/bin/ftpsdns

查看对应命令文件,也是下载启动这个病毒的

删掉 /bin/httpntp、/bin/ftpsdns、/bin/watchbog

最后再kill 掉进程,观察一会,此时世界安静

 

发表于
2019-09-11 15:28 
_Parry 
阅读(432
评论(0
编辑 
收藏 
举报

 

版权声明:本文为panpan61803原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/panpan61803/p/11506549.html

阿里云挖矿病毒查杀二 - _Parry的更多相关文章

  1. HTTP 错误 500.19 – Internal Server Error解决办法详解 WebService创建、发布及在IIS上部署

    最近在服务器端部署程序发现这个问题,HTTP 错误 500.19 – Internal Serve […]...

  2. DMAR表 + iommu – tycoon3

    DMAR表 + iommu   话说,盘古开天的时候,设备访问内存(DMA)就只接受物理地址,所以CPU要把一 […]...

  3. CentOS8使用阿里源 – trp

    CentOS8使用阿里源 详解CentOS8更换yum源后出现同步仓库缓存失败的问题 https://www. […]...

  4. Task Scheduler 介绍 – 潇湘隐者

    Task Scheduler 介绍 2012-04-09 22:20  潇湘隐者  阅读(20630)  评论 […]...

  5. 【第一组】用例文档、功能说明、技术说明 – 秦老师男朋友

    【第一组】用例文档、功能说明、技术说明 2017-07-25 10:09  秦老师男朋友  阅读(115)  […]...

  6. 【大学生活】在软件学院的那些课 – wangchuang2017

    【大学生活】在软件学院的那些课 【大学生活】在软件学院的那些课 原创 2012年07月14日 18:25:02 […]...

  7. NFS宿主机和目标机 – LoveFM

    NFS宿主机和目标机 这里主要写一下NFS(环境windows7主机,虚拟机上ubuntu10.04,FL24 […]...

  8. (原+译)常见的梯度下降算法 – darkknightzh

    (原+译)常见的梯度下降算法 转载请注明出处: http://www.cnblogs.com/darkknig […]...

随机推荐

  1. Java岗 面试考点精讲(基础篇02期)

    1. 两个对象的hashCode相同,则equals也一定为true,对吗? 不对,答案见下面的代码: @Ov […]...

  2. 除了敲代码,你还有什么副业吗?

    学习相关更多的技术,可参考《技术文章集合—184篇文章分类汇总》,再往下看, 我的业余时间都做了哪些事情! 前 […]...

  3. EVE-NG网卡桥接

    EVE-NG网卡桥接 https://blog.51cto.com/sms1107/1928436   一、给 […]...

  4. ARM处理器简介

    ARM处理器简介       参考: http://www.arm.com/zh/products/proce […]...

  5. SpringBoot整合Redis初实践

      Redis是一个开源(BSD许可),内存存储的数据结构服务器,可用作数据库,高速缓存和消息队列代理。    […]...

  6. 【秒懂音视频开发】08_音频录制02_编程

    通过编程录音 开发录音功能的主要步骤是: 注册设备 获取输入格式对象 打开设备 采集数据 释放资源 需要用到的 […]...

  7. Java多线程编程基础知识汇总

    Java多线程编程得必备基础知识,有必要学习一波 前言   本文参考了廖雪峰官方网站的Java教程,廖雪峰官方 […]...

  8. 汉字编码GB2132

    汉字编码总体上,可以分为以下几种类型: 输入码:是为了通过键盘字符把汉字输入计算机而设计的一种编码。 英文输入 […]...

热门专题

JDK和TOMCAT的安装与配置环境变量
常用svn
操作系统之内存与进程
我的第一个C#版GDI+程序
数组Array方法总结
如何用.NET
数据挖掘学习
canvas模拟中国铁路运行图
服务端口
向Web开发人员推荐12款优秀的
月下无限连?拒绝无休止switch!
实现AJAX的基本步骤
IElxw
内存扫盲贴专注于爬电线杆20年
【线性代数的几何意义】行列式的几何意义
卡方分布and卡方检验
华为——防火墙——策略路由配置及思路
nginx反向代理实现获取用户真实ip
大学课后答案微信小程序项目实践(1)
软碟通制作U盘启动盘教程
虎扑
展开目录

目录导航