1.情形:
由于需要校外访问处于内网中的服务器,于是服务器上面使用了内网穿透的软件,在开启内网穿透的两周后,服务器的显卡被匿名为“Python”程序的所高频占用。如下图所示:
正常情况下,gpu占用进程会给出进程名称,其描述了当前用户信息。如果是通过root账号启动的进程可能不会显示信息。
2.尝试:
为了搞清楚问题所在,先查看了该进程所属文件的位置
ll /proc/27080/从找到cwd所指向的文件,就找到了病毒的副本
进入root/.cache文件夹,我的该文件已经删了,mnt下的是副本
因为服务器是训练专用,暂未安装过mysql和oracle,因此可以确定服务器中病毒了
首先,先查看一下病毒文件写了些啥
这里可以看到,这个文件通过doos.pid文件生成随机的pid,然后一旦发现进程被杀死,就使用生成的pid启动新进程,这样就导致永远都无法靠kill -9 命令杀死进程。
接着查看一下root.sh文件:
这里可以发现,此文件会启动后台数据库,收集挖矿数据,又发现病毒文件中包含一个叫 nano.backup的文件,应该是用到了nano微型服务器进行挖矿数据传输。
上面可以看到又外部的ip地址,经过所属地查询发现是国外的ip,并且这么直接写入文件中,八成是动态的ip。经过ping测试,此ip已经设置了访问限制,仅本服务器可以进行数据通信。因此,无法通过该ip地址影响到对方。
3.查杀
显然前文所查到的.cache文件夹和test文件夹是需要删除的病毒文件,但是不一定是本源文件,我们需要摸清楚病毒是从哪里产生的。
一般病毒散播者只是用户,是病毒开发者的情况很少。这类人只懂得怎么去使用这些现成的挖矿程序,并从中获利。 利用这个漏洞,我们可以尝试去寻找电脑中的挖矿文件,一般命名无非是"*miner*”,尝试查找:(将查询结果保存起来)
sudo find / -name "*miner*" > /home/search_miner.log随后,我们查看查询结果:
这里就找到了挖矿病毒的源文件了——tagminer
经过百度,发现是如下的提供商(虽然挖矿程序本质上不算病毒,但通过非法手段在他人电脑上运行获利,那就是罪该万死的行为)
接着,我们进入所在文件的目录以及父目录,删除所有相关的文件。
下一步就是,尝试病毒不再那么容易再次复活了。
4.阻断
无论是自己的私人电脑,还是服务器,防火墙都格外的重要。ubuntu以ufw为例,我尝试着将外部的黑客,阻隔到外网。
# 启用防火墙,如果是ssh连接的用户需要注意,可能防火墙会断开ssh的连接
sudo ufw enable
# 查看防火墙状态
sudo ufw status
我们开始添加合适的Action动作,以此来禁止或允许某些ip或者端口的访问请求。
禁止特定ip的命令如下(需要替换为目标ip地址)
将前面文件中查到的ip: 46.101.29.22
以及通过netstat -nat查到的所有国外ip 进行封禁
最好进行子网封禁,避免对方重新分配ip再次散播病毒
sudo ufw deny from xx.xx.xx.xx/24 to any # 子网封禁
sudo ufw deny from xx.xx.xx.xx to any port 80 # 指定端口和ip接着,我们分析一下散播持续重生的病毒,可能会有的持久连接,
输入命令查看网络连接:
netstat -nat 
明显存在外来ip的持久连接,CLOSE_WAIT表明四次挥手被阻断,未能完全断开连接。后续可能被黑客再次关顾。于是我们用上述的方法将此ip进行封禁。最后清除所有CLOSE_WAIT的连接。(希望后续一段时间里面不会再中毒了,大家一定要谨慎使用内网穿透)
备用方案:如果上述步骤使用后,若干天后依然存在病毒,请进行下面的抵御方法
1.ufw规则配置了解
https://blog.csdn.net/qq_42418728/article/details/126199151?spm=1001.2014.3001.5501
通过这个链接了解规则,配置基本规则,例如:ssh,白名单
2.ufw进行外网ip访问限制https://mp.csdn.net/mp_blog/creation/editor/126868156
通过这个链接步骤进行外网ip攻击防御
2833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
