||
服务器运行程序总是被kill掉,查看cpu,有个叫做python的命令一直在运行,占用了2800cpu。一开始以为是运行程序操作不当,解决了很久未果。后来求助朋友,也未果。再后来师兄猜测有可能是挖矿木马,结果各种百度非常符合。接下来,清理木马的过程用了一天,目前已经有一天没有复现木马病毒,也许是已经清理干净了。简直花费太多时间排查,有些过程没有留下截图,仅写下来比较重要的过程供被植入挖矿木马的朋友参考交流。如果有其他更好的建议请指点!
1, top命令后如下图所示,以为是运行了什么python程序,索性我把python卸载了也没管用,这就是黑客的狡猾之处,用python这个名字。另外就是,使用kill -s 9 PID kill掉这个进程之后,随即再复活。
第一个cpu明显异常,可以看到PID为44262的进程号有问题,下文介绍中的截图不一定是这个进程号,中间过程有木马反复复活的现象,所以下面的PID号只是当时的进程号,不用在意:
使用命令top -H -p PID 可以看到有28个线程cpu被占满了99。
2, PID号23439为挖矿木马进程号,使用以下两个命令,需要定位到木马的绝对路径。在我的案例中,木马的标志基本是.X12-unix文件名,存在于各种文件夹中。
3,于是定位到这个路径下有两个文件,一个叫python,一个叫x86_64。
其实python这个就是它的执行脚本,反复复制,然后反复执行。。。
于是索性删掉这两个文件,刚开始沾沾自喜以为解决问题,但是没过多久,cpu再次被占用,也就是木马又复活了,说明还没有彻底清理干净,还留有余孽。。。
4,同样使用第二步骤中的命令,再次定位,发现/usr/local/bin/python这个东西还在作怪,奇怪的就是已经删除了,为何还在运行?于是在这个目录下rm -rf python命令,再次删除,发现作用不大,只是再次看这个界面时,红框部分一直闪烁。。木马还是反复出现,为所欲为。。。
5,发现好像有个定时似的东西,需要找到定时任务,使用如下两个命令:
crontab -l或者cat /var/spool/cron/root
使用crontab -r或者rm /var/spool/cron/root清除这个定时命令
6,这个时候发现大约复活的频率时一个小时左右,应该是还有没有被清理掉的东西,继续查找。
动态查看定时日志
tail /var/log/cron、cat /etc/crontab和crontab -l
之前会发现有这么一个脚本定期执行,图未保留
(root) CMD (/opt/systemd-service.sh > /dev/null 2>&1 &)
后来再tail /var/log/cron查看(右半图),如下图所示,怀疑/etc/cron.hourly这个文件有问题,于是对比正常的虚拟机下面的这个文件夹下是空的,而服务器下ll这个文件夹如下图所示,更加坚定了这个文件是存在问题的。
很容易删掉0anancron这个文件,而man-db被拒绝删掉。
于是使用如下一系列命令:
chattr -I man-db
chmod 000 man-db
rm rf man-db
于是删除掉了。
到此为止,挖矿木马未再复现,服务器恢复正常。本人仍在继续监测中。。。
7 另外要修改root密码和SSH端口,提交密码的安全级别。定期查看动态日志及定时任务。
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-11-23 10:32
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社