记一次阿里云linux服务器中毒处理
事件
阿里云告警:
您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。
登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。
定位进程
top命令,发现CPU占用很高的是一个叫migration的进程,这个进程不是我开启的。
kill -9 PID 杀掉,果然安静了。
但是没过几分钟,这个进程又起来了,看来有程序自动启动它。
ll /proc/PID 看到 exe ->/tmp/migration(deleted) ,厉害了,可执行文件居然已经被删了。
pstree -a 查看进程树,一样也没找到这个进程。
定位进程失败!
人肉筛查
kill掉migration,再打开top, 试图通过肉眼观察出有没有进程突然闪现,naive!啥也没捕获到。
kill掉migration,再iftop -PB,试图通过观察网络使用情况来发现启动进程,然并卵。
clamav
无奈,祭出查毒工具clamav,这个工具默认只查毒报警不做处理。
# 1.安装
apt-get install clamav
# 提示我apt-get update,于是先更新了一下
# 2 下载病毒库
freshclam
# 3. 扫描并记录日志
clamscan -r /home/jekins -l /tmp/clamav.log
数个小时之后,扫描结束。log的SCAN SUMMARY中显示Infected files:2,这里坑的是log里面每个文件都输出了结果,导致很不好找,还好机智的查了一下有毒文件会标识FOUND,轻松搜到。
其实可以用命令clamscan -r --bell -i /home/jekins ,只显示有问题的文件并发出报警声。
总之,查到病毒文件是一个很深很深的目录下的两个76eb30d638ac40文件,直接删除,再kill -9 PID,到此彻底查杀了。
来源
后来查看阿里云的云安全中心预警信息,发现了2条预警,可见恶意进程和来源。
参考
————————————————
版权声明:本文为CSDN博主「九韭酒」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zb408832388/article/details/103128938