![](/pic/kswapd0木马解决cc.jpg)
⊙0⊙
分别的功能是:(1)查杀其他加密货币矿工进程,开启7686进程,执行挖矿脚本kswapd0。(2)通过base64编码将远控木马写入perl文件,对应进程rsync,远程服务器可以向此
Linux下查杀kswapd0挖矿木马 一、背景介绍 某天下午,接到一客户内网服务器中了挖矿病毒的消息,需要进行应急响应处置。当时由于以前只看过相关处理流程和步骤,还没动手试验过,顿时感
∪△∪
L i n u x xia zha sha k s w a p d 0 wa kuang mu ma yi 、 bei jing jie shao mou tian xia wu , jie dao yi ke hu nei wang fu wu qi zhong le wa kuang bing du de xiao xi , xu yao jin xing ying ji xiang ying chu zhi 。 dang shi you yu yi qian zhi kan guo xiang guan chu li liu cheng he bu zhou , hai mei dong shou shi yan guo , dun shi gan . . .
≥△≤
2024年01月27日20时21分,收到主机安全告警,立即上机开展排查。 1、恶意程序排查 1.1、文件排查 1.1.1、告警文件排查 01、文件 使用命令stat /tmp/.X291-unix/.rsync/a/a和file /tmp
●^●
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。所以大家
通过top发现kswapd0进程占用极高,即使kill 之后还是会在一段时间之后重启 第一种处理方案(彻底): # 注释掉的定时任务都是 用来启动kswapd0病毒的root@insp:/op
o(?""?o
解决方案:排查kswapd0进程 top 执行命令 netstat -antlp | grep kswapd0 查询该进程的网络信息 ps -ef | grep kswapd0 查看进程的工作空间 切换到木马程序目录
?0?
1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e 2.删除/root/ 目录下的
˙▽˙
我们来到/proc/目录下查找对应的pid号,即/proc/497。可以在这目录下找到kswapd0进程的详细信息。 ll/proc/497 1 4.查看进程的工作空间 ps-ef|grep kswapd0 1 执行完后可以看到进程
ˋ^ˊ〉-#
/root/.configrc5/a/kswapd0 /tmp/.X2c4-unix/.rsync/a/kswapd0 用rm -rf 命令逐条删除上面3个路径文件。 step2.关闭对应进程:top命令: 找到 进程名称内包含 ks
Linux 木马排查 背景:通过监控系统发现某台机器CPU 使用率持续较高,人为登陆服务器排查。 排查 top 通过top 查看当前负载较高的进程如图: 发现kswapd0 占用cpu较高,那让我们先了解
发表评论