挖矿病毒分析

news/2025/12/5 18:41:28/文章来源:https://www.cnblogs.com/allalonewithyou/p/19313424

挖矿病毒

现象

CPU利用率占满了，或者占50%

解决

ls -la /etc/cron*  # 检查系统级定时任务
ls -la /var/spool/cron/crontabs/  # 检查所有用户的 crontab 文件# 里面就可以找到执行的程序
cat /etc/cron.hourly/MuU5g9kkls -la /etc/cron*sudo tail -f /var/log/auth.log  # 实时监控登录日志
sudo grep -i "fail|error|attack" /var/log/syslog  # 搜索攻击痕迹

alt text

sudo apt install rkhunter
sudo rkhunter --check

登陆用户爆破

日志查看

sudo tail -f /var/log/auth.log  # 实时监控登录日志

病毒进行字典爆破日志：

Nov 28 11:10:08 u20 sshd[184701]: Invalid user .hlifanuang from 127.0.0.1 port 42542Nov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:08 u20 sshd[184701]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:10 u20 sshd[184701]: Failed password for invalid user lifan.huang from 127.0.0.1 port 42542 ssh2Nov 28 11:10:11 u20 sshd[184701]: Connection closed by invalid user lifan.huang 127.0.0.1 port 42542 [preauth] Nov 28 11:10:15 u20 sshd[184749]: Invalid user jin.wu from 127.0.0.1 port 38136Nov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:15 u20 sshd[184749]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:17 u20 sshd[184749]: Failed password for invalid user jin.wu from 127.0.0.1 port 38136 ssh2Nov 28 11:10:19 u20 sshd[184749]: Connection closed by invalid user jin.wu 127.0.0.1 port 38136 [preauth] Nov 28 11:10:23 u20 sshd[184886]: Invalid user qing.li from 127.0.0.1 port 34480Nov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): check pass; user unknownNov 28 11:10:23 u20 sshd[184886]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1Nov 28 11:10:24 u20 sshd[184886]: Failed password for invalid user qing.li from 127.0.0.1 port 34480 ssh2Nov 28 11:10:25 u20 sshd[184886]: Connection closed by invalid user qing.li 127.0.0.1 port 34480 [preauth] Nov 28 11:10:30 u20 sshd[184936]: Invalid user wenliu.zhu from 127.0.0.1 port 59566

可以看到有常用的用户名进行不停的尝试

解决

# 安装 Fail2Ban 自动封禁爆破 IP
sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/989084.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

模块会根据自学习到的权重对各输入进行加权组合，再经过卷积、BN和激活函数等进一步处理，形成新的融合特征图，是BiFPN内部的核心机制

softmax（或快速归一化）是连接"自学习权重"与"加权组合"的关键桥梁。完整的处理流程与softmax的作用位置复制输入特征图 (P3, P4, P5...)↓ 1. 自学习原始权重 (w₁, w₂, w₃...)↓ 2. 【Softma…

挖矿病毒分析

挖矿病毒

现象

解决

登陆用户爆破

日志查看

解决

相关文章