Linux服务器上有挖矿病毒处理【分析+解决】Linux 服务器上有挖矿病毒处理 液晶白板
分析
今天遇到病毒挖矿,有点⼩兴奋。
来波分析:
看上⾯的症状是:攻击者通过docker⼊侵的【后⾯了解,可能是redis账号密码简单的原因被爆破的】 最奇诡的事,攻击者可能通过提权,获取到root的权限。然后⼀些列的挖矿病毒
⼤致流程图
症状表现
服务器CPU资源使⽤⼀直处于100%的状态,通过 top 命令查看,发现可疑进程
解决
排查⽅法
⾸先:查看 bbb进程,使⽤ ps -ef | grep bbb
PS: 通过 ps -ef 命令查出 bbb进程号,直接 kill -9 进程号并删除 /tmp/bbb执⾏⽂件。但没有过1分钟进程⼜运⾏了,这时就能想到,bbbb有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。 定时任务
sccnn看来有猫腻,准备删除这些定时任务【但是⽆法删除】
注意:⽆法删除,原因被chatter 上锁了
那我就开锁就⾏
led矿灯
重点
当你解开锁时时,但是你去删除这个⽂件,全是⽆法删除。再看看权限,⼜被锁住了。【攻击者你很骚⽓啊】咦,我发现了邮件服务,每当我运⾏权限脚本时,都会发送⼀个邮件到/var/spool/mail/root
You have new mail in /var/spool/mail/root提⽰
看到这个,我有点起疑⼼了。
怀疑:为啥我们平常的服务器上没有出现这个,但现在为啥会出现邮件。【突破点】
我想想了,可能是通过mail的提⽰来检测我的服务器操作,从⽽重新执⾏脚本。
OK。那我就⼲掉你,看你怎么检测
第⼀步:关闭提⽰
echo "unset MAILCHECK">> /etc/profile
source /etc/profile
第⼆步:查看
ls -lth /var/spool/mail/
第三步:清空
cat /dev/null > /var/spool/mail/root
lc-a
定时任务清空【完成】
让你们了解⼀下chatter锁。想深⼊可以百度了解看⼀下
lsattr可⽤来查看⽂件的属性:
lsattr filename
如果⽂件属性中有i与a,或者有其中的⼀个
可以使⽤chattr去掉这属性:
chattr -ia filename
这次来试试,OK了,⽂件清空。
电视制作bbb程序删掉
top查看石墨冷铁
分析运⾏路径
第三步:kill 掉 bbb守护进程 kill -9 25800,最后删除 bbb执⾏程序 rm -f /var/tmp/bbb。但是这个脚本也被chatter了,需要解锁才能删除。
解锁,删掉。
curl程序删掉
上⾯的病毒搞完了,但是还有curl后台程序运⾏。
开机⾃启,是什么位置
删掉这些程序,重启⼀下
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议