虚机被入侵之后会将以下的内容进行修改:
1. 与进程、网络以及一些其他的命令移除执行权限, 而后使用chattr (参数+ia)命令进行限制修改, 导致这些命令不能被正常使用.
2. /etc 目录下的用户账密相关文件 /etc/passwd /etc/shadow 进行限制修改,
3. 新建的执行用户hilde 家目录所有文件文件夹(包括远程免密登录的公钥)都被限制修改.
4. root家目录下相关隐藏文件夹 .ssh 及认证文件被限制.
建议通过以下步骤进行解决:
1.从另外一台主机远程scp chattr 命令到该虚机, 解除top kill ps等相关命令的执行限制, 获取执行脚本的相关文件所在位置,先把运行着的挖矿程序干掉,再清除掉执行文件.
2. 写个循环将 /sur/bin 目录下的文件全部 chattr -ia 过一遍,添加相应的执行权限.
3. 备份/var/log/cron 文件, 里面有入侵后远程获取的定时任务的脚本文件及脚本地址.虚机被入侵后,secure 的所有记录会被清除.
4. 移除入侵的执行用户hilde, 解除该用户家目录及root家目录的修改限制,将远程目录 .ssh 清理干净.
(补充:将入侵用户的信息移除后可以通过登录文件实现ip黑名单或者添加防火墙规则做一些防护;)
6. 运行自己的程序即可.
建议: 这次入侵主要是由redis的执行用户为root和默认运行端口的漏洞导致的,建议使用redis之前先进行密码的修改和默认端口的修改.此外.建议限制访问服务器的ip 范围及实现ip黑名单.