前言:
今天登录vCenter,发现公司虚机一片告警,很罕见的场景~
操作步骤:
首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh root@10.6.6.*登录。
- 查看是否中毒,执行top命令
本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。
另一个检查方法,查看是否有此文件:/opt/unixdb.sh,文件存在就代表中毒。
现在需要清理掉该病毒。
- 确定启动用户
如上图所示,该病毒启动的用户是root(看上图USER栏),有些用户是yarn,如果是root,则保持root用户登录,如果是yarn,执行命令su – yarn切换到yarn来查看crontab任务。
- 注释掉crontab任务
执行crontab -l,如下图所示,这是该病毒的守护任务,在行首添加#注释掉
执行crontab -e,编辑,保存。
再次执行crontab -l 查看效果
还有一个crontab任务,
cd /etc/cron.d
vim 0unixdb
注释掉,保存
vim /var/spool/cron/root,查看是否是注释状态,该文件即是root用户登录,用命令:crontab -e编辑保存之后的文件。
- 清空病毒脚本
病毒脚本存在于/root/.unixdb.sh中,打开后如下图所示,是用base64加密的
解密后,明文大体如下:
清空该文件,cd /root; ls -lart
直接编辑该文件会报没有权限,需要先执行chattr命令
chattr -i ./.unixdb.sh
然后再执行 > ./.unixdb.sh (>是命令的一部分)
当然也可以vim ./.unixdb.sh,将里面的内容清空,保存,效果一样
修改此文件权限:chmod 0400 ./.unixdb.sh
同样的方法,处理掉/opt/unixdb.sh
chattr -i ./unixdb.sh
> ./unixdb.sh
chmod 0400 ./unixdb.sh
- 杀死病毒进程&守护进程
找到病毒进程pid,执行kill命令,pid即第1张图中的pid那一栏的值。
kill -9 $pid,对于上图中的进程,即是kill -p 24464,尽量复制,手敲的话请认真核对。
以上去掉了crontab、杀死了病毒进程,过一会发现这个病毒又活了。经过排查发现,这个病毒在植入时,还同时启动了一个守护进程。
将所有的进程导出
执行命令:ps -ef >> aaa.txt,将aaa.txt下载到本地,用UE或NotePad++打开,浏览此文件,主要看最后一栏
Aug10这两个进程,Command一栏是随机字符串,很好辨认,Kill掉(如果只发现1个,那就kill1个)
kill -9 $pid1
kill -9 $pid2
此外还有一个病毒进程,tracepath,如下图所示,也需要杀掉。
- 删除病毒进程监控脚本
cd /tmp/.X11-unix
rm -rf ./* (注意/有个“.”)
- 去掉多余的SSH免密
cd /root/.ssh
vim known_hosts,根据IP查看,把无用的行去掉,保存,
注意去掉192.168.122.1,和127.0.0.1这两行。
/root/.ssh/authorized_keys,查看是否有给未知的用户授权,无此文件则不需要处理。
目前看来病毒清理后,没有再复发,还在持续观察中。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
