早上来公司,客户报系统不能登陆了。我以为简单的应用挂机问题,后来发现是cpu超200。直接使服务器宕机!猜测是被植入了挖矿程序,后来经过证实果然是。于是开始和植马的狠人斗智斗勇。用尽浑身解数终于解码。在整个过程中,发现这个人是个狠人,做事不留痕迹,定时植入的漂漂亮亮。假若有缘,可以交个朋友,一起探索渗透技术,哈哈!或者当个红帽子!下面跟大家介绍这个狠人的招数,我为何说是个狠人,是有原因的。单纯的植马,那无所谓,使用个弱密码或者其他渗透手段就能进入服务器。马删了也就无所谓了。这个马却是个狠马。被植入不说,文件属性还被更改为只能被添加,不允许被删除。这还不行,竟然还搞了个u属性(u-卖个关子)。当我发现后只能使用chattr删除属性,但是发现使用了没有报错(不显示),熟悉linux的都知道,不显示就是最好的显示,因为执行成功的才会这样。但是查看时,那玩意竟然还在,真实头大啊。看着top后高高在上的cpu,真是有苦说不出哦!几经周折,发现chattr也给我替换了。找到原因,就能对症下药了。于是乎,安装chattr的包(e2fsprogs-这个需要根据你服务器的版本,我的是阿里云 linux),命令,yum -reinstall e2fsprogs -y,强制替换掉的命令。接下来就是刷刷的删除不该有的属性,接着rm干掉这玩意。接着重启应用,成功!真是出了一头汗!希望本篇信息可以帮助更多处在被攻击却无从下手之人!
解决:服务器种挖矿程序的一次实战记录~
最新推荐文章于 2024-06-03 15:38:24 发布