乐趣区

关于linux:linux实战清理挖矿病毒kthreaddi

故事背景

最新收到报警音讯, 始终提醒服务器 CPU 100%, 而后登入服务器用 top 一看, 发现并没有过程特地占用 CPU, 马上第一直觉就是 top 命令曾经被篡改。须要借助其余的工具。

装置 busybox

零碎有故障, 登录后如果发现用失常的命令找不到问题, 那么极有可能该命令被篡改。

BusyBox 是一个集成了三百多个最罕用 Linux 命令和工具的软件, 外面就有我须要的 top 命令。

> busybox top

终于看到了这个 kthreaddi 过程, 上网一查这个货色叫 门罗币挖矿木马 , 假装的实现是太好了和零碎中的失常过程kthreadd 太像了。

清理门罗币挖矿木马

惯例形式先试试

> kill -9 6282 

过一会又起来了, 阐明有守护过程

查看零碎中的定时工作

> crontab -l
0 * * * * /tmp/sXsdc

发现一个这, 一看就不是什么好货色, 间接清理 crontab,crontab -e dd :wq! 一顿操作, 察看了一会发现又进去0 * * * * /tmp/xss00, 可执行程序的名字还变, 看来解决这个杯水车薪, 这些文件都是二进制的, 间接关上查看, 也看不出啥。

去内核数据目录找找看

> ls -al ll  /proc/6282 

6282是方才那个挖矿过程

原来在 tmp 上面有文章 , 然而被 deleted, 不论先去看看

> /tmp/.dHyUxCd/
> ls -al

config.json 外面都是一些配置, 外面找到一个美国的 IP

清理病毒

  • 删除 /tmp/.dHyUxCd/ 目录
  • kill -9 挖矿过程 pid
  • reboot 重启

总结

本次服务器被挖矿, 有可能是 docker 没有 TLS 通信加密, 也有可能是 redis 的弱明码, 被入侵。先把 docker 停掉(前面抽空 Docker 启用 TLS 进行平安配置),redis 明码强度加高一点。

原文链接:https://rumenz.com/rumenbiji/…
微信公众号: 入门小站

退出移动版