故事背景

最新收到报警音讯,始终提醒服务器CPU 100%,而后登入服务器用top一看,发现并没有过程特地占用CPU,马上第一直觉就是top命令曾经被篡改。须要借助其余的工具。

装置busybox

零碎有故障,登录后如果发现用失常的命令找不到问题,那么极有可能该命令被篡改。

BusyBox 是一个集成了三百多个最罕用Linux命令和工具的软件,外面就有我须要的top命令。

> busybox top

终于看到了这个kthreaddi过程,上网一查这个货色叫门罗币挖矿木马,假装的实现是太好了和零碎中的失常过程kthreadd太像了。

清理门罗币挖矿木马

惯例形式先试试
> kill -9 6282
过一会又起来了,阐明有守护过程

查看零碎中的定时工作

> crontab -l0 * * * * /tmp/sXsdc
发现一个这,一看就不是什么好货色,间接清理crontab,crontab -e dd :wq!一顿操作,察看了一会发现又进去0 * * * * /tmp/xss00,可执行程序的名字还变,看来解决这个杯水车薪,这些文件都是二进制的,间接关上查看,也看不出啥。

去内核数据目录找找看

> ls -al ll  /proc/6282
6282是方才那个挖矿过程

原来在 tmp上面有文章 ,然而被 deleted,不论先去看看
> /tmp/.dHyUxCd/> ls -al

config.json 外面都是一些配置,外面找到一个美国的IP

清理病毒

  • 删除/tmp/.dHyUxCd/目录
  • kill -9 挖矿过程pid
  • reboot重启

总结

本次服务器被挖矿,有可能是docker没有TLS通信加密,也有可能是redis的弱明码,被入侵。先把docker停掉(前面抽空Docker启用TLS进行平安配置),redis明码强度加高一点。

原文链接:https://rumenz.com/rumenbiji/...
微信公众号:入门小站