时间
2023年9月1日
起因
在部署gitlab的时候发现宝塔面板和部署的网站都连接超时。然后通过监控资源发现系统占用100%
问题分析
由于图方便没有开启防火墙,以及刚才测试gitlab时把docker设置允许外部访问,导致被扫描到并植入了挖矿病毒
处置分析
-
由于挖矿病毒一般都无法通过杀死进程直接根除,所以需要找出病毒进程,根据病毒进程找到启动的脚本
-
脚本一般来说是没有权限运行的,说明服务器可能已经沦陷,管理员密码被获取,或者留了隐藏用户
处置过程
使用top命令查看系统资源占用,按shift+p排序查看cpu高占用的进程,发现挖矿病毒分为多个进程运行,如果是多核cpu可以按1查看每个核心的占用情况
先使用crontab -l 查看所有的定时任务
发现运行病毒的隐藏脚本,使用more /root/.system-private-fcpik5LHQoUS1rX8s9YXtANnS7MeR3Wp.sh查看脚本中运行的代码,里面有通过curl从其他网站上下载病毒的行为 //忘记截图了
先把脚本删除掉,然后再使用crontab -r [UserName]删除定时任务。
通过刚才top查看的进程会发现有一个pid为998的用户启动了那几个进程,通过cat/etc/passwd查看系统中所有的用户,拿到998用户对应的用户名,把用户删除。
最后再通过ps -ef | grep bundle查看病毒进程的父进程id
直接kill -9 12912把父进程干掉,过一会发现服务器占用下来了
然后把防火墙开启,外部服务关掉,管理员密码修改,至此病毒就基本扫除了.