当前位置: 首页 > news >正文

挖矿病毒分析

news 2026/5/27 11:14:55

挖矿病毒

现象

CPU利用率占满了,或者占50%

解决

ls -la /etc/cron*  # 检查系统级定时任务
ls -la /var/spool/cron/crontabs/  # 检查所有用户的 crontab 文件# 里面就可以找到执行的程序
cat /etc/cron.hourly/MuU5g9kkls -la /etc/cron*sudo tail -f /var/log/auth.log  # 实时监控登录日志
sudo grep -i "fail|error|attack" /var/log/syslog  # 搜索攻击痕迹

alt text

alt text
alt text

sudo apt install rkhunter
sudo rkhunter --check

登陆用户爆破

日志查看

sudo tail -f /var/log/auth.log  # 实时监控登录日志

病毒进行字典爆破日志:

Nov 28 11:10:08 u20 sshd[184701]: Invalid user .hlifanuang from 127.0.0.1 port 42542Nov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:10 u20 sshd[184701]: Failed password for invalid user lifan.huang from 127.0.0.1 port 42542 ssh2Nov 28 11:10:11 u20 sshd[184701]: Connection closed by invalid user lifan.huang 127.0.0.1 port 42542 [preauth] Nov 28 11:10:15 u20 sshd[184749]: Invalid user jin.wu from 127.0.0.1 port 38136Nov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:17 u20 sshd[184749]: Failed password for invalid user jin.wu from 127.0.0.1 port 38136 ssh2Nov 28 11:10:19 u20 sshd[184749]: Connection closed by invalid user jin.wu 127.0.0.1 port 38136 [preauth] Nov 28 11:10:23 u20 sshd[184886]: Invalid user qing.li from 127.0.0.1 port 34480Nov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:24 u20 sshd[184886]: Failed password for invalid user qing.li from 127.0.0.1 port 34480 ssh2Nov 28 11:10:25 u20 sshd[184886]: Connection closed by invalid user qing.li 127.0.0.1 port 34480 [preauth] Nov 28 11:10:30 u20 sshd[184936]: Invalid user wenliu.zhu from 127.0.0.1 port 59566

可以看到有常用的用户名进行不停的尝试

解决

# 安装 Fail2Ban 自动封禁爆破 IP
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
http://www.gsyq.cn/news/73497.html

相关文章:

  • 2025年度气力输送系统制造企业TOP5权威推荐:甄选企业助
  • 以油养肤沐浴油哪个效果好?2025排行榜前十名沐浴油品牌公布!帮你高效修护肌底
  • 无锡新世源科技有限公司的技术实力怎样?看看哪家产品质量好
  • 好用的护发素品牌有没有推荐的?2025年6款护发素推荐:敏感肌染后受损修护
  • 2025年贵州装修公司权威推荐榜首:黔派装饰以匠心工艺与全周期服务
  • 2025年新房装修公司推荐:黔派装饰引领品质家居新标准
  • 2025年大众途观L更换轮胎推荐:TOP10轮胎权威榜单解析
  • 2025年重庆南坪板栗鸡店推荐:南坪吃板栗鸡有推荐吗
  • 从卡顿到秒查:Java 工程引入 Elasticsearch 搭建亿级地址数据的复杂查询实战
  • 2025年河南五大源头电线电缆厂家排行榜,电线电缆实力供应商
  • 2025年度重庆必吃江湖菜排名TOP5!重庆李子坝梁山鸡
  • 2025年安检机厂家找哪家,行业内安检机聚焦技术实力与行业适配性
  • 祝贺朱雀三号首飞成功入轨!国产时序数据库 IoTDB 助力火箭试验
  • 取得Gridview的指定某一列的值
  • DP1323EL的电动车解锁方案:超高速读写,提升电动车一键解锁体验
  • 高级语言程序设计第八次作业
  • debian10安装QT
  • iOS 基于 Foundation Model 构建媒体流 - 教程
  • 52(12.4)
  • 软件定义汽车:重看动力电池与BMS的系统性挑战
  • 2025年度电线电缆实力厂家权威推荐:看看哪家电线电缆品质优
  • 2025年国内有实力的鼠标微动开关企业推荐,中型微动开关/大型微动开关/微动开关/小型微动开关/汽车微动开关制造商排名
  • 关于.NET 10性能与 AI 是主题色
  • Spring两大特性 AOP和IOC
  • deepin系统配置堡垒机支持deepin-terminal
  • 2025年中国十大电线电缆制造商推荐:电线电缆靠谱厂商有哪些
  • 2025年上海周边H488*300型钢批发服务商推荐,售后完
  • 2025年度北京商事诉讼律师TOP5权威推荐:资深律师团队甄
  • 第四次作业
  • 2025年12月广东佛山青瓦/琉璃瓦制造厂家排行榜前十名:专业评测与选购指南