记一次挖矿病毒清除经历

一、问题

一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。
在这里插入图片描述

二、解决思路

2.1 top查看进程

先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。
在这里插入图片描述

2.2 删掉守护脚本

一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它
在这里插入图片描述
在这里插入图片描述
进入/usr/bin目录,将今天创建的脚本文件全部删掉
在这里插入图片描述
发现文件给锁住了,不给删除。用chattr -i 文件名解锁被锁住的文件,然后再删除。
在这里插入图片描述

2.3 查看其他文件

find / -maxdepth 1 -newermt "2020-03-09"命令查看今天修改了那些目录。ll -at按时间排序,挨个排查掉今天改动过的文件,防止黑客留后门。
在这里插入图片描述

crontab -l :查看定时任务
crontab -l -u xxx 查看指定用户的定时任务
/etc/hosts:文件查看主机解析,添加了好多主机地址。
在这里插入图片描述
/etc/passwd:查看有没有创建用户
/root/.ssh/authorized_keys:查看有没有免验证登陆的主机
less /var/log/secure | grep Accepted:查看登陆服务器的IP

可以查看到一个陌生的IP于4:28登陆我的系统

Mar  9 04:28:51 iZ8vbb3mz6nouzleylfgi9Z sshd[6695]: Accepted password for root from 39.100.138.138 port 58852 ssh2

less /var/log/messages :查看系统操作日志

通过pid查询运行的程序

[root@prd ~]# ls -al /proc/6977/exe 
lrwxrwxrwx 1 root root 0 Nov  8 12:41 /proc/6977/exe -> /opt/jdk-1.8/jre/bin/java

三、再次中招

2020/4/7 刚刚清明节放假回来第一天,打开Grafana监控,发现有一台服务器的CPU占用已经100%。

在这里插入图片描述
进入对应服务器top命令查看,kswapd0进程CPU占用率796%
在这里插入图片描述
ps查看不到该进程的位置
在这里插入图片描述
怀疑该病毒在docker容器内运行,查看docker状态,找到一个容器异常
在这里插入图片描述
进入改容器 查看该进程的执行程序在哪里
在这里插入图片描述
find / -newermt '2020-03-01 16:34:00' 查找三月一号之后创建的文件,看看黑客留了那些后门

四 依旧是你

2020/4/10 熟悉的名字又出现了
在这里插入图片描述
这次准备彻底清查一下

  • 查看历史命令vim /root/.bash_history

发现一段异常操作,按照上下文的命令推算,因该是第一次发现这个病毒之前。很明显是黑客部署病毒的操作。但是又不是这个病毒名字。
在这里插入图片描述

初步感觉是上回留的后门没有清干净

无可奈何

在这里插入图片描述
2020/4/13他又回来,小弟已经对他无可奈何了,只能遇到一次杀一次了。各位大佬有没有什么方法可以留言给我,万分感激

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值