Linux 挖矿kworkerds解决办法(留来自己看的)

最新推荐文章于 2024-07-09 18:49:19 发布

凉半杯咖啡

最新推荐文章于 2024-07-09 18:49:19 发布

阅读量1.8k

点赞数

在上一篇博文Linux系统发现占用CPU达100%的进程并处理里面以为已经把挖矿程序sustse处理干净了，可是没过两天又收到阿里云短信提醒，说服务器有问题，难道还有后门吗？也多亏阿里云给出提示“出现了可疑安全事件：Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容，原来这个后门是动态链接库预加载机制造成的。
动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。这种技术可以重写系统的库函数，只需要在预加载的链接库中重新定义相同名称的库函数，程序调用该库函数时，重新定义的函数即会屏蔽掉正常的库函数。
动态链接库预加载机制有两种方式：LD_PRELOAD环境变量和/etc/ld.so.preload配置文件。赶紧查看下LD_PRELOAD环境变量：

//查看占用cpu率最高的几个进程
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head
// -s 9标识强制关闭 2477标识进程数
# kill -s 9 2477
//查看定时任务
 crontab -l
//删除定时任务 crontab -e  进入vim模式，删除
//删除某一文件下的所有文件
rm -rf /etc/cron.d/*
//查看文件夹的保护属性
lsattr 文件名
//删除文件夹保护属性
chattr -i 文件名
//添加文件夹保护属性
chattr +i 文件名

#echo LD_PRELOAD

未见异常，再看看/etc/ld.so.preload配置文件：

果然有异常的库，这里的cat或ls命令最好使用静态编译的，或者使用busybox工具，否则可能因为恶意库被隐藏而发现不了：

从时间上看，这个库和阿里云检测到的问题时间是一致的，赶紧清空ld.so.preload文件并删掉lbb.so库。使用top再查看一下：

原来top查不到的kworkerds进程终于出现了，而且启动了很多。看来不单单top命令没异常就代表查看是真实的信息，还要记得检查预加载库。
使用ps命令再查看下：

原来/var/tmp/目录下的kworkerds文件又出现了，这次好好找找吧，发现/tmp目录下也有这个文件，看来是会相互复制的。为了快速删除得写个删除脚本了，执行脚本删除完，top再查看，没有发现kworkerds进程，可是再看/usr/local/lib/目录，lbb.so库又出现了。
还是没能彻底清除，肯定还有定时任务，crontab -e命令删除的只是root创建的定时任务，而用户创建的定时任务在/var/spool/cron/目录下，查看/var/spool/cron目录：

果然还有定时任务，将其删除，再看/usr/local/lib/目录，还是被恢复了。阴魂不散啊，再看/etc/cron.d目录下文件：

还有那个定时任务，将其也删除，这下终于不再复发了。最后整理我的删除脚本如下：

echo "" > /etc/ld.so.preload
chattr +i /etc
rm -rf /var/spool/cron/*
rm -rf /etc/cron.d/*
chattr +i /var/spool/cron/
rm -f /usr/local/lib/*
chattr +i /usr/local/lib
killall kworkerds
rm -f /var/tmp/kworkerds*
rm -f /var/tmp/1.so
rm -f /tmp/kworkerds*
rm -f /tmp/1.so
rm -f /var/tmp/wc.conf
rm -f tmp/wc.conf

echo "" > /etc/ld.so.preload
chattr +i /etc
rm -rf /var/spool/cron/*
rm -rf /etc/cron.d/*
chattr +i /var/spool/cron/
rm -f /usr/local/lib/*
chattr +i /usr/local/lib
killall kworkerds
rm -f /var/tmp/kworkerds*
rm -f /var/tmp/1.so
rm -f /tmp/kworkerds*
rm -f /tmp/1.so
rm -f /var/tmp/wc.conf
rm -f tmp/wc.conf
--------------------- 
作者：竹影云 
来源：CSDN 
原文：https://blog.csdn.net/xinxin_2011/article/details/85047245 
版权声明：本文为博主原创文章，转载请附上博文链接！

其中chattr +i命令是给文件夹加锁，删除完赶紧上锁，防止恶意文件再复制进去，这下终于安静了。。。
---------------------
作者：竹影云
来源：CSDN
原文：https://blog.csdn.net/xinxin_2011/article/details/85047245
版权声明：本文为博主原创文章，转载请附上博文链接！

凉半杯咖啡

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
Linux 挖矿kworkerds解决办法(留来自己看的)

在上一篇博文Linux系统发现占用CPU达100%的进程并处理里面以为已经把挖矿程序sustse处理干净了，可是没过两天又收到阿里云短信提醒，说服务器有问题，难道还有后门吗？也多亏阿里云给出提示“出现了可疑安全事件：Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容，原来这个后门是动态链接库预加载机制造成的。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可...
复制链接

扫一扫