一、问题
一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。
二、解决思路
2.1 top查看进程
先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。
2.2 删掉守护脚本
一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它
进入/usr/bin目录,将今天创建的脚本文件全部删掉
发现文件给锁住了,不给删除。用chattr -i 文件名
解锁被锁住的文件,然后再删除。
2.3 查看其他文件
用find / -maxdepth 1 -newermt "2020-03-09"
命令查看今天修改了那些目录。ll -at
按时间排序,挨个排查掉今天改动过的文件,防止黑客留后门。
crontab -l
:查看定时任务
crontab -l -u xxx
查看指定用户的定时任务
/etc/hosts
:文件查看主机解析,添加了好多主机地址。
/etc/passwd
:查看有没有创建用户
/root/.ssh/authorized_keys
:查看有没有免验证登陆的主机
less /var/log/secure | grep Accepted
:查看登陆服务器的IP
可以查看到一个陌生的IP于4:28登陆我的系统
Mar 9 04:28:51 iZ8vbb3mz6nouzleylfgi9Z sshd[6695]: Accepted password for root from 39.100.138.138 port 58852 ssh2
less /var/log/messages
:查看系统操作日志
通过pid查询运行的程序
[root@prd ~]# ls -al /proc/6977/exe
lrwxrwxrwx 1 root root 0 Nov 8 12:41 /proc/6977/exe -> /opt/jdk-1.8/jre/bin/java
三、再次中招
2020/4/7 刚刚清明节放假回来第一天,打开Grafana监控,发现有一台服务器的CPU占用已经100%。
进入对应服务器top命令查看,kswapd0进程CPU占用率796%
ps查看不到该进程的位置
怀疑该病毒在docker容器内运行,查看docker状态,找到一个容器异常
进入改容器 查看该进程的执行程序在哪里
find / -newermt '2020-03-01 16:34:00'
查找三月一号之后创建的文件,看看黑客留了那些后门
四 依旧是你
2020/4/10 熟悉的名字又出现了
这次准备彻底清查一下
- 查看历史命令
vim /root/.bash_history
发现一段异常操作,按照上下文的命令推算,因该是第一次发现这个病毒之前。很明显是黑客部署病毒的操作。但是又不是这个病毒名字。
初步感觉是上回留的后门没有清干净
无可奈何
2020/4/13他又回来,小弟已经对他无可奈何了,只能遇到一次杀一次了。各位大佬有没有什么方法可以留言给我,万分感激