Linux下查杀kswapd0挖矿木马

2021-09-13 12:15:43 liubin 332
一、背景介绍
某天下午,接到一客户内网服务器中了挖矿病毒的消息,需要进行应急响应处置。当时由于以前只看过相关处理流程和步骤,还没动手试验过,顿时感觉展现技术的时候到了。


二、处置流程
1.远程服务器,通过top命令查看实时进程,发现kswapd0进程占用CPU明显异常。进程ID为313075。
  1. top

多面魔方安全托管服务
2.根据该进程的PID来定位该进程的文件路径。
  1. ls -la /proc/[PID]/exe  

多面魔方安全托管服务
3.在/root/目录下,通过ls -la查找隐藏的病毒文件夹。
多面魔方安全托管服务
4.进入/root/.configrc/病毒目录,查看发现存在大量病毒文件,以及kawapd0程序。
多面魔方安全托管服务
5.查看kswapd0的文件修改时间。
  1. stat kswapd0

多面魔方安全托管服务
6.根据kswapd0进程的PID查找相关的网络连接,发现有个一直与一个外网的45.9.148.58:80地址连接。
  1. netstat -natupl | grep [PID]

多面魔方安全托管服务
7.通过微步搜索该IP地址,发现是个荷兰的IP,并且已经被用户标位矿池IP。
多面魔方安全托管服务
8.查看Linux服务器的定时任务,发现有大量与病毒文件相关的定时任务,需要全部删除。
  1. /var/spool/cron/root        //定时任务文件

  2. crontab -l                          //查看定时任务

  3. crontab -e                         //编辑定时任务

多面魔方安全托管服务
9.通过定时任务,定位/dev/shm/.X19273/.rsync目录的病毒运行文件。需要全部删除。
多面魔方安全托管服务

10.直接kill掉病毒文件运行进程。可以看到kill掉后,CPU就恢复正常了。
  1. kill -9 [PID]

多面魔方安全托管服务
多面魔方安全托管服务
11.分析病毒样本,发现会在/root/.ssh/目录下生成一个病毒公钥文件,黑客可以通过该公钥远程到此计算机来。
多面魔方安全托管服务
12.需要进入/root/.ssh/目录下删除病毒公钥文件
多面魔方安全托管服务
多面魔方安全托管服务


总结一下大致的处置流程:
1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e
2.删除/root/ 目录下的.configrc病毒文件夹
3.删除/root/ 目录下的.ssh病毒公钥文件夹
4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。

其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。


微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服