kswapd0挖矿病毒查杀过程

一、查杀过程

1.1最近云主机cpu负载异常,刚重启CPU就快速上升,top显示一个用户下的kswapd0进程疯狂占用cpu。

排查后,我发现这个程序和一个名叫WachtdogsMiner的挖矿蠕虫和一个荷兰IP有关。

通过查看病毒进程的行为,可以发现该进程与被黑的用户下的一个隐藏文件夹有关,具体位置为/home/test2.configrc/a/kswapd0

ls.png

使用netstat -antlp查看系统外部链接,可以发现两个荷兰的ip,一些博主还发现这些ip与rsync有关,可以确定这是用来植入病毒的工具。

ip2.png

ip.png

进一步查看病毒程序的文件目录,其中的kswapd0就是主体,另外还包含了创建计划任务,开始/结束等sh脚本,删除即可:

crontab.png

crontab2.png

二、现有解决方案

1.先杀掉进程,kill即可,然后干掉他给你创建的用户,先kill -9 进程强制踢出,然后删除用户。

2.删除病毒创建的计划任务可以使用crontab -l -u user_name查看某个用户的计划任务。

3.删除可疑文件,这次分析中病毒创建了一个test2用户在家目录下有.ssh、.configrc等其中病毒将自己隐藏在.configrc中,删除这个用户即可。

不妨碍服务器运行的前提下,可以屏蔽传播此病毒的ip段。

都清理干净后,稍微等一下就正常了(因为他分别表示cpu 1 5 15 分钟负载)

zc.png

三、病毒传播及运行机制

据大神分析,该病毒为WachtdogsMiner挖矿蠕虫病毒的一个变种,该病毒会伪装成dota2游戏组件等程序,通过ssh爆破传播到服务器中,病毒会隐藏在用户目录下的隐藏文件夹中,伪装成kswapd0进程利用cpu挖门罗币。

bd.png

有趣的是病毒程序文件夹中有个名叫init0的脚本,其注释写着

A script for killing cryptocurrecncy miners in a Linux enviornment

用途是清除掉linux服务器中其他的挖矿程序等恶意程序,方便自己占用更多的cpu资源!6.jpg

Q.E.D.