当前位置: 首页 > news >正文

挖矿病毒分析

news 2026/3/26 21:38:26

挖矿病毒

现象

CPU利用率占满了,或者占50%

解决

ls -la /etc/cron*  # 检查系统级定时任务
ls -la /var/spool/cron/crontabs/  # 检查所有用户的 crontab 文件# 里面就可以找到执行的程序
cat /etc/cron.hourly/MuU5g9kkls -la /etc/cron*sudo tail -f /var/log/auth.log  # 实时监控登录日志
sudo grep -i "fail|error|attack" /var/log/syslog  # 搜索攻击痕迹

alt text

alt text
alt text

sudo apt install rkhunter
sudo rkhunter --check

登陆用户爆破

日志查看

sudo tail -f /var/log/auth.log  # 实时监控登录日志

病毒进行字典爆破日志:

Nov 28 11:10:08 u20 sshd[184701]: Invalid user .hlifanuang from 127.0.0.1 port 42542Nov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:10 u20 sshd[184701]: Failed password for invalid user lifan.huang from 127.0.0.1 port 42542 ssh2Nov 28 11:10:11 u20 sshd[184701]: Connection closed by invalid user lifan.huang 127.0.0.1 port 42542 [preauth] Nov 28 11:10:15 u20 sshd[184749]: Invalid user jin.wu from 127.0.0.1 port 38136Nov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:17 u20 sshd[184749]: Failed password for invalid user jin.wu from 127.0.0.1 port 38136 ssh2Nov 28 11:10:19 u20 sshd[184749]: Connection closed by invalid user jin.wu 127.0.0.1 port 38136 [preauth] Nov 28 11:10:23 u20 sshd[184886]: Invalid user qing.li from 127.0.0.1 port 34480Nov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:24 u20 sshd[184886]: Failed password for invalid user qing.li from 127.0.0.1 port 34480 ssh2Nov 28 11:10:25 u20 sshd[184886]: Connection closed by invalid user qing.li 127.0.0.1 port 34480 [preauth] Nov 28 11:10:30 u20 sshd[184936]: Invalid user wenliu.zhu from 127.0.0.1 port 59566

可以看到有常用的用户名进行不停的尝试

解决

# 安装 Fail2Ban 自动封禁爆破 IP
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
http://www.jsqmd.com/news/62937/

相关文章:

  • 模块会根据自学习到的权重对各输入进行加权组合,再经过卷积、BN和激活函数等进一步处理,形成新的融合特征图,是BiFPN内部的核心机制
  • 2025年本田CR-V更换轮胎推荐:专业轮胎排名必读指南
  • 2025年安徽本土五大的律师事务所推荐,股权合伙律师事务所实
  • 2025年奥迪A6L更换轮胎推荐:最新轮胎推荐权威测评
  • 淡化老痘印用什么面膜?2025用户反馈优质面膜TOP10,顽固痘印全瓦解!
  • BiFPN和softmax在目标检测模型中的相对位置关系
  • 2025年度气力输送系统制造企业TOP5权威推荐:甄选企业助
  • 以油养肤沐浴油哪个效果好?2025排行榜前十名沐浴油品牌公布!帮你高效修护肌底
  • 无锡新世源科技有限公司的技术实力怎样?看看哪家产品质量好
  • 好用的护发素品牌有没有推荐的?2025年6款护发素推荐:敏感肌染后受损修护
  • 如何通过无代码平台构建高效智能体 — AgenticHub的革命性创新
  • 2025年贵州装修公司如何选?这份深度评测报告给你答案
  • lambda函数的特性
  • 2025全包装修公司哪家好?最新权威推荐榜单,中高端装修必看
  • 2025年贵州装修公司权威推荐榜首:黔派装饰以匠心工艺与全周期服务
  • 2025年整装公司权威推荐榜单:黔派装饰以匠心重构贵州家装新标准
  • 2025年新房装修公司推荐:黔派装饰引领品质家居新标准
  • 2025年大众途观L更换轮胎推荐:TOP10轮胎权威榜单解析
  • 2025年重庆五大梁山鸡餐厅排行榜,地道美食品牌推荐
  • 2025年重庆南坪板栗鸡店推荐:南坪吃板栗鸡有推荐吗
  • 微信工具类
  • 探秘C#伪随机数生成器的安全漏洞与破解之道
  • 从卡顿到秒查:Java 工程引入 Elasticsearch 搭建亿级地址数据的复杂查询实战
  • 随笔
  • 2025年河南五大源头电线电缆厂家排行榜,电线电缆实力供应商
  • 2025年度重庆必吃江湖菜排名TOP5!重庆李子坝梁山鸡
  • 2025年安检机厂家找哪家,行业内安检机聚焦技术实力与行业适配性
  • 祝贺朱雀三号首飞成功入轨!国产时序数据库 IoTDB 助力火箭试验
  • 取得Gridview的指定某一列的值
  • 雅思报班终极参考:2025年5大实力机构深度测评(附封闭班详情)