云服务器中挖矿病毒watchdog记录

晚上收到阿里云服务器被攻击的紧急邮件,登录控制台就发现遭到了恶意植入挖矿病毒,直接把我cpu资源吃完了,可恨。

 

主要是挖矿程序和恶意脚本代码执行,我把这六个问题分别截图,挨个来解决

一、挖矿程序

看这两个挖矿程序的PID相同,直接追踪目标吧。应该是通过恶意植入了一个文件。先通过top查看了资源情况,好家伙,直接抓到凶犯。

 本想着直接kill -9杀掉该进程再说,但看了阿里云社区的相关案例,发现这种挖矿程序似乎还会出现,于是通过ls -l /proc/30282/exe找到了这个文件所在目录,似乎就是阿里云控制台提示的tmp目录,然后再按时间顺序打开目录(ls -lt -al),索性没有出现可疑文件,直接rm掉watchdog就行了。ok,至此解决掉这个恶意程序了。

 

 

二、访问恶意IP

看描述应该是基于上面那个watchdog挖矿文件来实现而已访问的,我想watchdog都已经删了,应该就不用管了。

三、访问恶意下载源

估计就是为了下载watchlog文件

 

四、恶意脚本执行

 这里通过进程链明显可以看到,是我ruoyi-admin.jar出了问题,攻击者就是通过它进行了后面一系列的攻击。这是我用来管理自己项目的一个开源后端框架,于是我跑到它的开源社区寻找相关issues,没想到还真有,哈哈。看了作者和一些开发者的交流,最终定位问题如下:

1数据库问题:可能是Redis、mysql弱密码导致。

2框架本身引用了一些带有漏洞的第三方依赖。

如果是框架本身的漏洞,我暂时也没空换其它框架,也没精力去寻找漏洞挨个修复,所以就先解决弱密码问题吧,看来密码真的不能随便设定啊,算是第一次被这种形式的攻击,涨个教训吧。

总结:其实现在从尾到头看,关键就在于我这个项目暴露了一个关键漏洞,让骇客抓住机会得以植入脚本,再通过脚本远程下载恶意挖矿病毒,最后病毒把cpu资源占满。

 

 

 

相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页