记第一次Linux下查杀kswapd0挖矿木马

本帖最后由 tangyouwu 于 2021-7-15 18:47 编辑 一、背景介绍

某天下午,接到一客户内网服务器中了挖矿病毒的消息,需要进行应急响应处置。当时由于以前只看过相关处理流程和步骤,还没动手试验过,顿时感觉展现技术的时候到了。记第一次Linux下查杀kswapd0挖矿木马

二、处置流程

1.远程服务器,通过top命令查看实时进程,发现kswapd0进程占用CPU明显异常。进程ID为313075。

2.根据该进程的PID来定位该进程的文件路径。

  1. ls -la /proc/[PID]/exe

复制代码

记第一次Linux下查杀kswapd0挖矿木马

3.在/root/目录下,通过ls -la查找隐藏的病毒文件夹。

记第一次Linux下查杀kswapd0挖矿木马

4.进入/root/.configrc/病毒目录,查看发现存在大量病毒文件,以及kawapd0程序。

记第一次Linux下查杀kswapd0挖矿木马

5.查看kswapd0的文件修改时间。

记第一次Linux下查杀kswapd0挖矿木马

6.根据kswapd0进程的PID查找相关的网络连接,发现有个一直与一个外网的45.9.148.58:80地址连接。

  1. netstat -natupl | grep [PID]

复制代码

记第一次Linux下查杀kswapd0挖矿木马

7.通过微步搜索该IP地址,发现是个荷兰的IP,并且已经被用户标位矿池IP。

记第一次Linux下查杀kswapd0挖矿木马

8.查看Linux服务器的定时任务,发现有大量与病毒文件相关的定时任务,需要全部删除。

  1. /var/spool/cron/root        //定时任务文件
  2. crontab -l                          //查看定时任务
  3. crontab -e                         //编辑定时任务

复制代码

记第一次Linux下查杀kswapd0挖矿木马

9.通过定时任务,定位/dev/shm/.X19273/.rsync目录的病毒运行文件。需要全部删除。

记第一次Linux下查杀kswapd0挖矿木马

10.直接kill掉病毒文件运行进程。可以看到kill掉后,CPU就恢复正常了。

记第一次Linux下查杀kswapd0挖矿木马
记第一次Linux下查杀kswapd0挖矿木马

11.分析病毒样本,发现会在/root/.ssh/目录下生成一个病毒公钥文件,黑客可以通过该公钥远程到此计算机来。

记第一次Linux下查杀kswapd0挖矿木马

12.需要进入/root/.ssh/目录下删除病毒公钥文件

记第一次Linux下查杀kswapd0挖矿木马
记第一次Linux下查杀kswapd0挖矿木马

总结一下大致的处置流程:

1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e

2.删除/root/ 目录下的.configrc病毒文件夹

3.删除/root/ 目录下的.ssh病毒公钥文件夹

4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。

其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。

版权声明:limingdao 发表于 2024-07-15 14:44:43。
转载请注明:记第一次Linux下查杀kswapd0挖矿木马 | 黎明岛导航