阿里云挖矿病毒查杀二 - _Parry

panpan61803 2021-10-08 原文


阿里云挖矿病毒查杀二


今天gitlib服务变得 很慢,提交代码甚至失败,排除了下网络,最后登上机器 

登录特别慢,此时想到肯定是中毒了。top看了下。果不其然 【watchbog】cpu占用160%

随手杀了,几秒后又启动了。还是先查启动脚本吧

crontab -l 了下 果然有一个定时任务 

crontab -r  去掉了,再kill 掉进程

几秒后又变卡了。意识到还有其他 启动,得深入查下了

下载脚本下载的文件,是个base64加密串,解密后提取出ip

  1. ptpb.pw
  2. pastebin.com
  3. gitee.com 
  4. aziplcr72qjhzvin.onion.to

我们都给指定解析到本地

vim /etc/hosts

添加 一行 

  127.0.0.1   ptpb.pw pastebin.com  gitee.com  aziplcr72qjhzvin.onion.to

然后我再一个一个检查这几个定时任务

  1. /etc/cron.d
  2. /etc/cron.deny
  3. /etc/cron.monthly
  4. /etc/cron.daily
  5. /etc/cron.hourly
  6. /etc/crontab
  7. /etc/cron.weekly

删除掉新增的

最后还发现在新增了命令/bin/httpntp、/bin/ftpsdns

查看对应命令文件,也是下载启动这个病毒的

删掉 /bin/httpntp、/bin/ftpsdns、/bin/watchbog

最后再kill 掉进程,观察一会,此时世界安静

 

发表于
2019-09-11 15:28 
_Parry 
阅读(432
评论(0
编辑 
收藏 
举报

 

版权声明:本文为panpan61803原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/panpan61803/p/11506549.html

阿里云挖矿病毒查杀二 - _Parry的更多相关文章

  1. MySql导入sql脚本问题 – alon

    MySql导入sql脚本问题 MYSQL导入(执行)Sql脚本 例如:我的用户名是root 密码是123 sq […]...

  2. 图形界面删除oracle实例 – 一天虫人

    图形界面删除oracle实例 1.打开Database Configuration Assistant-> […]...

  3. 极客时间每日一课(十三) – LittleBugProducer

    极客时间每日一课(十三) 19-04-20 华为云HiLens:端云协同AI平台,助力企业快速智能化转型_魏磊 […]...

  4. MS17-010远程溢出漏洞 – 永恒之蓝 [CVE-2017-0143]

    MS17-010远程溢出漏洞(永恒之蓝) Ti:2019-12-25 By:Mirror王宇阳 MS17-01 […]...

  5. hdu1233浙大计算机研究生复试上机考试(2006)还是畅通工程 – 果冻虾仁

    hdu1233浙大计算机研究生复试上机考试(2006)还是畅通工程 还是畅通工程 Time Limit: 40 […]...

  6. Java学习从入门到精通(学习过程) – Jacky_Xu

    Java学习从入门到精通(学习过程) 2007-10-11 13:14  Jacky_Xu  阅读(417)  […]...

  7. Dynamic CRM 2013学习笔记(四十)流程3 – 对话(Dialog)用法图解

    我们将用对话来实现一个简单的满意度调查,下一个问题依赖于上一个问题。对话是同步的,不同于工作流既可以是同步也可 […]...

  8. background-position还可以这样用 – submerge

    background-position还可以这样用 文章同步至微信公众号:http://mp.weixin.q […]...

随机推荐

  1. C# 7.0 观察者模式 以及 delegate 和 event

    观察者模式 这里面综合了几本书的资料. 需求 有这么个项目:  需求是这样的: 一个气象站, 有三个传感器(温 […]...

  2. 手把手带你一键部署 Kubernetes + KubeSphere 至 Linux

    本文介绍一个最快安装 Kubernetes 和体验 KubeSphere 核心功能的方式,all-in-one […]...

  3. 使用element-ui table expand展开行实现手风琴效果

    写这篇博客的初衷:官网演示效果为点击toggle,已经展开的项不会因为其他项展开而关闭,所以延伸了下,扩展为手 […]...

  4. 线上问题定位–CPU100%

    服务器CPU突然告警,如何定位是哪个服务进程导致CPU过载,哪个线程导致CPU过载,哪段代码导致CPU过载? […]...

  5. 关于用eMule电驴(电骡) 无法链接服务器或者KAD显示未链接 的解决方法 – XieSir

    关于用eMule电驴(电骡) 无法链接服务器或者KAD显示未链接 的解决方法 一、关于链接ED2K服务器失败, […]...

  6. Excel中VLOOKUP函数的用法

    一、VLOOKUP函数的作用 作用:VLOOKUP函数可以帮助我们在已有的内容中快速匹配到我们想要的结果 二、 […]...

  7. WPF NET5 Prism8.0的升级指南

    前言 ​ 曾经我以学习的目的写了关于在.NET Core3.1使用Prism的系列文章.NET Core 3 […]...

  8. EXE文件关联修复器 – Wu.Country@侠缘

    EXE文件关联修复器 今天是有点手贱,把我机上的所有文件的扩展名关联给删除了!导致exe文件都无法运行了!还好 […]...

热门专题

论文研读
CQ创商
--每天就抱着电视看吧!
校招基础
支付宝支付对接过程
X64和X86_64区别
word封面背景及水印背景
烧录BOOT.BIN到QSPI-FLASH
PDF页面太大要如何才能缩小?
IDEA创建SpringBoot,并实现
快速搭建
快递查询接口种类及对接方法简幽
Encoder
went
系统服务
win7蓝牙连接手机蓝牙足各火丁Examples
.net边角料
docker.service
JVM内存调优之监控篇
手动编译PHP开发环境
算法(3)---布隆过滤器原理
展开目录

目录导航