Ubuntu16.04.01 kswapd0 进程占用cpu很高，中了亡命徒（Outlaw）挖矿病毒

Posted 2021-07-22 玩电脑的辣条哥

国内大量企业遭遇亡命徒（Outlaw）僵尸网络攻击。亡命徒（Outlaw）僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示，亡命徒（Outlaw）僵尸网络已造成国内约2万台Linux服务器感染，影响上万家企业。

此次攻击传播的母体文件为dota3.tar.gz，可能为亡命徒（Outlaw）僵尸网络的第3个版本，母体文件释放shell脚本启动对应二进制程序，kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。

亡命徒（Outlaw）僵尸网络之前通过利用Shellshock漏洞进行分发，因此被命名为“ Shellbot”。Shellbot利用物联网（IoT）设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞，大多数Linux发行版通常会使用到该功能，攻击者可以在这些受影响的Linux服务器上远程执行代码。

Outlaw通过SSH爆破攻击，访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到，根目录rsync下存放初始化脚本，a目录下存放shellbot后门，b目录下存放挖矿木马，c目录下存放SSH爆破攻击程序。

内网服务器发现类似进程

top看一下主机的资源使用情况
kswapd0 是系统的虚拟内存管理程序，如果物理内存不够用，系统就会唤醒 kswapd0 进程，由 ks