实战矿马:如何清除木马文件(/usr/games/power-on)
原创实战矿马:如何清除木马文件(/usr/games/power-on)
原创
枪哥四海为家
修改于 2022-03-31 16:34:05
修改于 2022-03-31 16:34:05
本身这个案例很简单,主要分享使用chattr工具的安装方法和简单文件特殊权限清除命令,方便快速处理。
现象
1.CPU占用100%
高CPU占用,大概率中了挖矿进程持续损耗CPU
2.主机安全检测的木马文件/usr/games/power-on,无法清除隔离。
通过主机安全控制台,无法隔离木马power-on
恶意进程定位
1.矿马位置:
/usr/games/power-on排查:上机
第一步:使用top命令查看当前进程占用情况,发现了games用户的bash命令占用CPU高达196%
games用户高占用CPU进程
定位一下/usr/games路径,看看里面有什么玄机文件:
usr/games/config.json
usr/games/create
usr/games/auto
usr/games/bash
usr/games/hide
usr/games/logs
usr/games/mining
usr/games/ra.pid
usr/games/start
usr/games/config.json
usr/games/create
usr/games/auto
usr/games/bash
usr/games/hide
usr/games/logs
usr/games/mining
usr/games/ra.pid
usr/games/start
清理
首先还是先使用kill -STOP将高占用进程先停止,这里不再赘述,我之前的文章里有具体的操作方式。
高占用进程停止后,我们发现这些路径下的文件无法直接通过rm -rf删除
这时候就要使用工具chattr,清除一下文件的特殊权限:
安装chattr
yum -y install e2fsprogs使用chattr -ias "文件名称" ,清除该文件的特殊权限。
chattr -ias usr/games/config.json
chattr -ias usr/games/create
chattr -ias usr/games/auto
chattr -ias usr/games/bash
chattr -ias usr/games/hide
chattr -ias usr/games/logs
chattr -ias usr/games/mining
chattr -ias usr/games/ra.pid
chattr -ias usr/games/start
清除特殊权限
使用chmod +x "文件名称",为文件重新赋权。
chmod +x usr/games/config.json
chmod +x usr/games/create
chmod +x usr/games/auto
chmod +x usr/games/bash
chmod +x usr/games/hide
chmod +x usr/games/logs
chmod +x usr/games/mining
chmod +x usr/games/ra.pid
chmod +x usr/games/start使用rm -rf清理
rm -rf usr/games/config.json usr/games/create usr/games/auto usr/games/bash usr/games/hide usr/games/logs usr/games/mining usr/games/ra.pid usr/games/start(2)查看自启动日志,看看是否还有新增任务,观察三个小时,无新增说明已经清理干净,同时观察CPU是否正常
CPU进程已恢复正常
总结一下
文件若无法正常执行操作,使用chattr工具清除特殊权限后,再进行执行。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。