newinit.sh挖矿攻击处理与规避方案

news2024/12/23 13:14:05

目录

攻击分析

恢复措施:

问题排查

攻击入口分析

预防

临时处理方案:


攻击分析

攻击者:职业黑客(99%) 

攻击方式:挖矿病毒newinit.sh和蠕虫病毒pnscan

中毒现象:

  • 服务器负载异常,具体表现load值冲高

  • 服务器部分命令不可用,如top、ps、pstree、chattr等

  • 重点是影响正在运行的业务

  • 因为命令被篡改了,所以ps -ef是找不到的

 

newinit.sh 主要功能是:关闭selinux、杀掉别人的挖矿进程、杀掉CPU占用过高的进程,如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志、感染已知的免密机器。

pnscan的主要功能是:扩散病毒,主要只针对内网服务器

恢复措施:

  • 第一步:清除木马后门(ssh免登录密钥),修改所有用户账号密码(查看是否有新增用户)

  • 第二步:杀死木马进程以及清除木马文件(挖矿病毒newinit.sh和蠕虫病毒pnscan)

  • 第三步:逆newinit.sh执行,分析newinit执行的shell,逆向执行

  • 第四步:第三步无法根除病毒造成的影响,只要感染了病毒优先考虑更换服务器,速度越快越好

问题排查

Ps top pstree被屏蔽,无法发现病毒

定时任务,保持病毒的活跃性

加锁文件,使得无法删除

留下后台,免密授权

攻击入口分析

Redis访问策略为0.0.0.0时,访问不受限

ssh端口默认为0.0.0.0时,有被爆破的痕迹

预防

  • ·SSH更换端口,不使用22,redis不使用6379,其他常用服务效仿

  • ·替换掉SSH密码登陆,改用公钥

  • ·redis一定要设定密码,redis尽量尽量尽量不暴露在外网

  • ·mysql、redis、mq等基础软件,一定要关注安全更新

  • ·操作系统要使用支持维护的稳定版。比如Centos7会维护到2024年。

  • ·操作系统一定要及时安装安全补丁

  • ·生产环境一定要放在完全封闭的内网,仅通过跳板机/堡垒机操作

  • ·权限管理尽量细致,避免root滥用的情况

临时处理方案

临时处理方式,如果被植入newinit.sh,一定迁移服务,攻击脚本中修改太多的系统服务配置,人工很难恢复到健康的服务状态,所以能迁移就迁移。并且保证不让这个挖矿进来

# 第一步:首先修改服务器root密码,防止继续攻击

# 第二步:尝试恢复
chmod 774 /usr/bin/chattr
chattr -ia /etc/zzh*
chattr -ia /etc/newinit.sh*
chattr -ia /root/.ssh/authorized_keys*
chattr -R -ia /root/.ssh
rm -rf /etc/zzh*
rm -rf /etc/zzhs     
rm -rf /etc/newinit.sh*
rm -rf /etc/init.sh*
mv  /usr/bin/wd1 /usr/bin/wget
mv  /usr/bin/cd1 /usr/bin/curl
echo 0 > /proc/sys/vm/nr_hugepages
sysctl -w vm.nr_hugepages=0
chattr -i /etc/resolv.conf 2>/dev/null 1>/dev/null
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d
rm -rf      /etc/cron.d/zzh
pkill -f zzh
pkill zzh
pkill .zzh
rm -rf /etc/zzh

chattr -ia /tmp/zzh*
chattr -ia /tmp/newinit.sh*
rm -rf /tmp/zzh*
rm -rf /tmp/newinit.sh*
pkill pnscan
pkill masscan
pkill cd1
pkill wd1
rm -rf /var/tmp/.ice-unix/
rm -rf /tmp/.ice-unix/
rm -rf /usr/local/bin/pnscan
rm -rf /usr/bin/pnscan
rm -rf /usr/local/bin/masscan
rm -rf /usr/bin/masscan
ps -ef | grep 'cleanfda' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'newinit.sh' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'kde' | awk '{print $2}' |xargs kill -9
ps -ef | grep 'kins' | awk '{print $2}' |xargs kill -9



# 查看下
 more /bin/ps
 # 如果ps命令也被篡改,则修复下:
 
chattr -ia /bin/ps
rm -rf /bin/ps
mv /bin/ps.original /bin/ps 

chattr -ia /bin/top
rm -rf /bin/top
mv  /bin/top.original /bin/top

chattr -ia /bin/pstree
rm -rf /bin/pstree
mv  /bin/pstree.original /bin/pstree

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1709959.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Celery教程

一、什么是Celery 1.1、celery是什么 Celery是一个简单、灵活且可靠的,处理大量消息的分布式系统,专注于实时处理的异步任务队列,同时也支持任务调度。 Celery的架构由三部分组成,消息中间件(message broker&#x…

利用基于CNN的人员检测与关键词识别的TinyML实现无接触电梯

目录 说明 论文概述 摘要 引言 现有非接触式电梯解决方案 新解决方案的需求 tinyML实施 系统构建和算法管道 CNN和TinyML实现 结果与讨论 结论 视频演示和代码可用性 一点感想 说明 我一直使用Google Schloar订阅最新的论文消息,今天看到一篇论文的标…

【Docker|漏洞】Docker api未授权导致rce

一、漏洞描述 扫描出http://ip地址:4243漏洞,该漏洞可通过Docker pai未授权访问可以直接执行命令,获取服务器权限。 二、解决方案 禁用Docker api远程访问功能,或者通过安全授权等方式限制其使用权限。升级duoker至最新版本。 三、漏洞排查…

java第十七课 —— 递归

方法递归调用 递归就是方法自己调用自己,每次调用时传入不同的变量,递归有助于编程者解决复杂问题,同时可以让代码变得简洁。 递归重要规则 执行一个方法时,就创建一个新的受保护的独立空间(栈空间)。方…

【CTF Web】CTFShow web11 Writeup(RCE+PHP+代码审计)

web11 1 阿呆听完自己菜死了&#xff0c;自己呆了。决定修好漏洞&#xff0c;绝对不能让自己再菜死了。 解法 可知 flag 在 config.php。 <?php # flag in config.php include("config.php"); if(isset($_GET[c])){$c $_GET[c];if(!preg_match("/system…

Maven高级详解

文章目录 一、分模块开发与设计分模块开发的意义模块拆分原则 分模块开发(模块拆分)创建Maven模块书写模块代码通过maven指令安装模块到本地仓库(install指令) 二、依赖管理依赖传递可选依赖排除依赖可选依赖和排除依赖的区别 三、聚合与继承聚合工程聚合工程开发创建Maven模块…

专业的Java工程管理软件源码:详尽的项目模块及其功能点清单

在工程项目管理软件领域&#xff0c;我们致力于提供全过程、全方位的综合管理解决方案。该软件覆盖了建设工程项目管理组织建设、项目策划决策、规划设计、施工建设到竣工交付、总结评估、运维运营的各个环节&#xff0c;确保项目管理的全面性和高效性。 工程项目管理软件包含…

VirtualBox虚拟机与bhyve虚拟机冲突问题解决@FreeBSD

问题 在安装完bhyve虚拟系统的主机上启动VirtualBox虚拟机的时候&#xff0c;报错&#xff1a;不能为虚拟电脑 debian 打开一个新任务. VirtualBox cant operate in VMX root mode. Please close all other virtualization programs. (VERR_VMX_IN_VMX_ROOT_MODE). 返回 代码…

Vue从入门到实战Day12~14 - Vue3大事件管理系统

一、用到的知识 Vue3 compositionAPIPinia / Pinia持久化处理Element Plus(表单校验&#xff0c;表格处理&#xff0c;组件封装)pnpm 包管理升级Eslint prettier 更规范的配置husky&#xff08;Git hooks工具&#xff09;&#xff1a;代码提交之前&#xff0c;进行校验请求模…

上海一儿童写真馆摄影师大量售卖女童照片!当你的肖像权或隐私权被侵犯时应如何写起诉状?

上海一儿童写真馆摄影师大量售卖女童照片&#xff01;当你的肖像权或隐私权被侵犯时应如何写起诉状&#xff1f; 近日&#xff0c;上海市一儿童写真馆摄影师被指大量售卖女童的照片和特写花絮。对此&#xff0c; 上海市公安局徐汇分局发布了警情通报&#xff08;见下图&#x…

广场舞团|基于SprinBoot+vue的广场舞团系统(源码+数据库+文档)

广场舞团系统 目录 基于SprinBootvue的广场舞团系统 一、前言 二、系统设计 三、系统功能设计 1 系统功能模块 2 后台登录模块 5.2.1管理员功能模块 5.2.2社团功能模块 5.2.3用户功能模块 四、数据库设计 五、核心代码 六、论文参考 七、最新计算机毕设选题推…

【学习Day1】中央处理单元CPU

✍&#x1f3fb;记录学习过程中的输出&#xff0c;坚持每天学习一点点~ ❤️希望能给大家提供帮助~欢迎点赞&#x1f44d;&#x1f3fb;收藏⭐评论✍&#x1f3fb;指点&#x1f64f; 中央处理单元CPU 中央处理器&#xff08;CPU&#xff0c;central processing unit&#xff…

第97天:权限提升-Web 权限权限划分源码后台中间件第三方数据库等

前置知识 具体有哪些权限需要我们了解掌握的 后台权限&#xff0c;网站权限&#xff0c;数据库权限&#xff0c;接口权限&#xff0c;系统权限&#xff0c;域控权限等 以上常见权限获取方法简要归类说明 后台权限&#xff1a;SQL 注入,数据库备份泄露&#xff0c;默认或弱口…

对象解构与迭代器的猫腻?

前言 变量的解构赋值是前端开发中经常用到的一个技巧&#xff0c;比如&#xff1a; // 对象解构 const obj { a: 1, b: 2 }; const { a, b } obj; console.log(a, b)数组解构 const arr [1, 2, 3]; const [a, b] arr; console.log(a, b)工作中我们最经常用的就是类似上面…

全球伦敦银收盘时间一致吗

跟伦敦金市场相似&#xff0c;伦敦银市场也是一个全球化的无形市场&#xff0c;无论来自世界上什么地方的投资者参与其中&#xff0c;都可以得到全天接近24个小时的连贯行情&#xff0c;只要精力足够&#xff0c;根本不用担心没有交易获利的机会。但由于交易平台始终有维护的需…

exe4j --实现把jar包打成exe可执行文件

工具准备 1.Java编辑器&#xff0c;如&#xff1a;idea、eclipse等&#xff0c;下载地址&#xff1a; IntelliJ IDEA: The Capable & Ergonomic Java IDE by JetBrains https://www.jetbrains.com/idea/ 2.exe4j&#xff0c;下载地址&#xff1a; ej-technologies - Java A…

python fstring教程(f-string教程)(python3.6+格式化字符串方法)

文章目录 Python F-String 教程&#xff1a;深度探究与实用指南引言基础用法什么是F-String?表达式嵌入 格式化选项小数点精度宽度与对齐数字格式化 高级用法复杂表达式调用函数多行F-String嵌套格式化 总结 Python F-String 教程&#xff1a;深度探究与实用指南 引言 在Pyt…

mongodb数据库备份到远程机器

一、背景 生产环境的mongodb数据库是直接购买阿里云的云数据库&#xff0c;但是在公司研发环境&#xff0c;我们是自己手动部署的。开发和测试的数据当然没有生产环境那么重要&#xff0c;但备份也是必要的&#xff0c;只不过容忍一定的数据丢失。 二、备份脚本 vi /etc/cro…

R实验 参数估计

实验目的&#xff1a; 掌握矩法估计与极大似然估计的求法&#xff1b;了解估计量的优良性准则&#xff1a;无偏性、有效性、相合性&#xff08;一致性&#xff09;&#xff1b;学会利用R软件完成一个正态总体均值和两个正态总体均值差的区间估计&#xff1b;学会利用R软件完成…

面试中算法(红包算法)

一、问题需求&#xff1a; 一个人在群里发了1个100元的红包&#xff0c;群里有5个人一起来抢红包&#xff0c;每人抢到的金额随机分配。 红包功能需要满足哪些具体规则呢? 1、所有人抢到的金额之和要等于红包金额&#xff0c;不能多也不能少。 2、每个人至少抢到1分钱。 3、要…