xig，Linux惡意攻擊指令碼程序之一

首先說明一點，當你在搜尋"xig"的時候，我可以肯定你的伺服器已經被惡意攻擊了，

原因很簡單：絕大部分都是因為伺服器連線密碼設定過於簡單。

回去改個密碼再刪刪檔案什麼的基本就解決了，這種小白挖礦程式一般都只是占用伺服器資源挖挖礦什麼的，其他危害倒不嚴重。

由於之前我搜尋「xig」的時候沒遇到什麼有針對性的文章，估計是已經很少有人犯這種錯誤了，但想想還是把細節寫出來，引以為戒吧。

首先肯定是伺服器執行發生了異常，具體表現為：

1、cpu占用極高，一般都是80%，伺服器負載基本是100%了，出現大量殭屍程序、休眠程序

2、後台大量可疑程序，比如xig，xige，mservice什麼的，反正一大堆，用ps -ef命令能有好幾頁

3、有這些東西在後台跑著，伺服器反應肯定會被拖慢，所以伺服器在處理自己發起的請求時，給出響應的時間要比平時長得多。

如果你在用寶塔面板管理著伺服器的話，發現異常就簡單得多了：

一、攻擊目的

攻擊者通過 ssh 暴力破解控制的裝置來進行 ddos 攻擊，主要利用被攻擊的伺服器的資源進行虛擬貨幣的挖掘，從而謀取利益。也就是挖挖位元幣、門羅幣什麼的，俗稱挖礦

自動化 ssh 暴力破解攻擊的無差別自動化攻擊方式使得開放 ssh 服務的 linux 伺服器（包括傳統伺服器、雲伺服器等）、物聯網裝置等成為主要攻擊目標。

二、攻擊字典：

對統計的 ssh 暴力破解登入資料分析發現

1、接近 99% 的 ssh 暴力破解攻擊是針對 admin 和 root 使用者名稱；

2、攻擊最常用弱密碼前三名分別是 admin、 password、 root，佔攻擊次數的 98.70%；

約 85% 的 ssh 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組使用者名稱密碼組合。

來自網路。

三、攻擊方式

攻擊流程

來自網路。

自動化暴力破解攻擊成功後，常使用 wget /curl 來植入惡意檔案。linux用的wget，少部分攻擊者還會在 http 伺服器上，同時執行 tftp 和 ftp 服務，並在植入惡意檔案時，執行多個不同的植入命令。這樣即使在 http 服務不可用的情況下，仍可以通過 tftp 或 ftp 植入惡意檔案。

本次被植入的惡意指令碼是「一路賺錢」挖礦惡意程式，主要利用被控制的裝置挖掘虛擬貨幣，這個 64 位的 linux 挖礦惡意程式部署指令碼執行後，會植入「一路賺錢」 64 位 linux 版本的挖礦惡意程式壓縮包yilu.tgz，並解壓到 /opt 目錄下產生資料夾yilu，然後執行主程式 mservice，註冊為 linux 系統服務，服務名為 yiluzhuanqianser。該資料夾中有三個可執行檔案 mservice / xige / xig，均被反病毒引擎檢測出是挖礦類的惡意樣本。根據配置檔案可知， mservice 負責賬號登入 / 裝置註冊 / 上報實時資訊，而 xige 和 xig 負責挖礦，xige 挖以太幣 eth，xig 挖門羅幣 xmr。

這些檔案在opt/yilu裡面，只要你被攻擊了，在這些路徑下一定能找到。

「一路賺錢」的 64 位 linux 版本挖礦惡意程式資料夾內容如下：

來自網路。

xcn1.yiluzhuanqian.com:80

ecn1.yiluzhuanqian.com:38008

我這次被攻擊對方用的是第乙個位址

四、解決方案

本人能力有限，給出的解決方案只能是暫時能用，具體的各位再查查吧。

修改伺服器遠端連線密碼。密碼、密碼、密碼！！！別偷懶，越複雜越好。

強制殺死xig、mservice、xige等相關程序

刪除可疑檔案

禁止對方相關ip的訪問許可權

重啟

本人能力實在有限，不然真想打回去。

xig，Linux惡意攻擊指令碼程序之一

網通惡意攻擊寬頻使用者

2023年惡意軟體攻擊趨勢

dos攻擊指令碼

xig，Linux惡意攻擊指令碼程序之一

網通惡意攻擊寬頻使用者

2023年惡意軟體攻擊趨勢

dos攻擊指令碼

相關推薦