故事背景
最新收到报警音讯, 始终提醒服务器 CPU 100%, 而后登入服务器用 top 一看, 发现并没有过程特地占用 CPU, 马上第一直觉就是 top 命令曾经被篡改。须要借助其余的工具。
装置 busybox
零碎有故障, 登录后如果发现用失常的命令找不到问题, 那么极有可能该命令被篡改。
BusyBox 是一个集成了三百多个最罕用 Linux 命令和工具的软件, 外面就有我须要的 top 命令。
> busybox top
终于看到了这个
kthreaddi
过程, 上网一查这个货色叫门罗币挖矿木马
, 假装的实现是太好了和零碎中的失常过程kthreadd
太像了。
清理门罗币挖矿木马
惯例形式先试试
> kill -9 6282
过一会又起来了, 阐明有守护过程
查看零碎中的定时工作
> crontab -l
0 * * * * /tmp/sXsdc
发现一个这, 一看就不是什么好货色, 间接清理
crontab
,crontab -e
dd
:wq!
一顿操作, 察看了一会发现又进去0 * * * * /tmp/xss00
, 可执行程序的名字还变, 看来解决这个杯水车薪, 这些文件都是二进制的, 间接关上查看, 也看不出啥。
去内核数据目录找找看
> ls -al ll /proc/6282
6282
是方才那个挖矿过程
原来在 tmp 上面有文章 , 然而被 deleted, 不论先去看看
> /tmp/.dHyUxCd/
> ls -al
config.json 外面都是一些配置, 外面找到一个美国的 IP
清理病毒
- 删除
/tmp/.dHyUxCd/
目录 - kill -9 挖矿过程 pid
- reboot 重启
总结
本次服务器被挖矿, 有可能是 docker 没有 TLS 通信加密, 也有可能是 redis 的弱明码, 被入侵。先把 docker 停掉(前面抽空 Docker 启用 TLS 进行平安配置),redis 明码强度加高一点。
原文链接:https://rumenz.com/rumenbiji/…
微信公众号: 入门小站