华为云主机被植入挖矿，主机变肉鸡破解实录。

1、主机被植入挖矿主机现象：

早上一大早来公司发现自己的华为云主机cpu使用一直飙高

 然后使用top命令查看，发现top命令不能用，此时得我知道事情不简单了，，，

 然后使用last查看登录记录，发现记录都被清空了，然后history也是清空的，看不出来有啥进程导致CPU彪高，我就把公网IP直接给解绑了，然后开始排查。

2、排查思路及解决办法：

1、top查看进程类的命令都不能使用，相关日志文件记录都被删了个干净，

2、可以安装htop（yum -y install htop）

3、查看一下是否跑了定时任务，这直接挂了每30秒的跑的脚本，

到etc目录下看下是否有该文件；好家伙！！！

 然后我准备删除该sh，

发现也删除不了，，，然后看该文件的权限，应该是加权限了，看下文件的属性，使用lsattr命令。

 发现有+a的权限导致无法删除；应该是使用了chatter对文件属性进行了追加，

chatter +a 锁定文件，不能删除，不能更改，只能给文件添加内容，但是删除不了。

普及一下chatter！！！！！！！！
chatter：
A：即Atime，告诉系统不要修改对这个文件的最后访问时间。
S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。
a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。
b：不更新文件或目录的最后存取时间。
c：将文件或目录压缩后存放。
d：当dump程序执行时，该文件或目录不会被dump备份。
D:检查压缩文件中的错误。
i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。
s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。
u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。
t:文件系统支持尾部合并（tail-merging）。
X：可以直接访问压缩文件的内容。

那我们把a这个属性去除再删除

 我删除该定时任务发现没有权限，

 那我们按照提示去看下该文件的属性发现加了a和i的属性，不能被删除，那我们就把这两个属性给干掉，

把/var/spool/cron/root的定时任务删除掉

 

再看下定时任务没了，

 

ps进程被替换

又发现了一个定时任务，，，zzh是谁？？？ 

 一样的加了权限

 修改ssh端口，把公网连上开始排查下，改为xxx端口。

 将主机绑定上公网，通过更改的端口进行排查，别忘了添加端口名单
然后看下selinux情况，被关了，，，

 开起来！！！！！！在开的过程更加肯定，主机被黑了！！！！因为selinux内容都被删的只剩一行了！！！！！

 然后重启主机，因为selinux是重启生效的！！！！

 昨天我在云主机上部署了reids服务，结果今天就被当做肉鸡了，云上部署redis一定要加白名单啊！！！！

原因：
挖矿病毒，利用Redis的未授权访问漏洞进行攻击。Redis 默认配置为6379端口无密码访问，redis是以root用户直接启动，攻击者直接通过公网直接链接redis，向root账户写入SSH公钥文件，以此获取服务器权限注入病毒

3、预防措施

1、开始你的selinux

2、开启你的防火墙，不要直接关闭你的防火墙，做一些安全策略。

3、云主机的安全组端口不要全开，ssh端口要更改为不常用的端口，使用redis时一定要加白名单！！！