昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信
我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载
直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。
首先查看腾讯云监控的信息,
定期登录看看我?伤害不大,侮辱性极强
cat ~/.bash_history
看到这里想到之前做一个团队服务器时潦草建了个测试账户
看了看bashhistory,
嘶,当时雀实够潦草,顺带看了一下,找不到这位黑客老哥的操作记录,清得很干净
顺手也查了last lastb一堆尝试登录的。
查看一下cpu进程
top
第一个进程离谱,这个名字也迷惑性很强,
好像没问题,但是作为一个协议,长期占用超过85%的cpu,那必然有问题
不急着删他进程,追踪进去看一眼目录
下意识看了一下/tmp目录
emmmm
满满的
google一下,dhcpd雀实是一个挖矿病毒隐藏的名字,而/tmp下的.ICE-unix也是挖矿病毒,这个深信服的师傅曾经遇到过
https://cloud.tencent.com/developer/article/1370854
现在确定他是挖矿病毒了,几个位置也清楚了,开始清理。
注意:如果你是在甲方那里,发现这种情况,
一定先固定证据!一定先固定证据!一定先固定证据!
直接给系统做个快照,或者做个镜像是做好不过的。
首先检查
计划任务
开机自启动
其他能启动挖矿程序的进程
计划任务:
crontab -l
start.sh是腾讯云的一个服务
也没有问题
开机启动项:
ls /etc/init.d/
cat /etc/rc.d/rc.local
好像没啥问题
处置病毒:
个人习惯先下载下来,留在自己电脑上(俗称养蛊),然后清理Linux主机的病毒
删进程
ps -aux
kill -s 9 23000
我的test账户本来就是一个测试账户,没什么用,直接删除即可
userdel -r test
基本搞定
看一下病毒本体
拖进IDA
啊,有点复杂啊
还是看专业的师傅来吧https://cloud.tencent.com/developer/article/1370854
这个病毒很狡猾,对我来说难度稍微大了,师傅分析的很到位
发现我的主机被挖矿的时候
第一时间把这个好消息,分享给了hxd,他建议我如果没有很重要的数据,直接重置系统
noway!
这不得水一篇文章吗,在甲方当蓝队的时候我可不敢把这个写出来,否则分分钟律师函警告。
(其实买这个服务器最初就是为了搭一个蜜罐,甲方的蜜罐实在让人眼馋,抓人多好玩!遇到菜的,直接反制,让攻击方变成防守方,防守方开打!
搬出二连长的意大利炮哈哈哈哈)
最后重启一下系统,等一段时间后再观察一下,cpu没有异常的话,就基本确定排查完全且成功。
嘶好像没啥问题了,