近期挖矿病毒猖獗,本文主要记录一次挖矿病毒的清理记录,用以记录或者帮助他人。
中毒特征
输入 top 然后回车查看进程,存在进程消耗了大量CPU,使用kill命令结束进程后,过一段时间后,又会出现。
可能的入侵方式
目前发现常用的入侵方式包括:
- 利用redis漏洞。redis未设置密码或者密码太过于简单。
- 系统登录用户口令较为简单。
处理方式
目前处理挖矿病毒的常用的方法包括:
- 检查定时任务,是否存在异常的脚本,如存在,则删除异常的脚本
- 检查开机启动服务是否有异常的脚本。
- 检查系统登录用户的密码是否存在弱口令。
- 删除ssh免密登录内容。
- 对redis设置密码或者修改强口令。
- 开启本机防火墙,对端口及ip进行按需开放。
- 对于非必需联网机器,进行断网。
本次处理全过程:本处理采用centos6.5系统进行说明。某天下午管理员通知我某台机器一直在往外发包,让我看下并处理,我登录服务器后,查看top命令,发现某个进程占用cpu300%,进程如图:
-
首先对进程进行跟踪,使用lsof -p 命令,如图:
经查ip属于国外ip,初步猜测可能为挖矿病毒。kill掉进程后,过一段时间后进程又出现,但进程名每次都不一样。 -
检查定时任务,crontab -l
查看该脚本,内容如图
脚本内容经过base64加密,经过base64解密后,可查看脚本的实际内容为通过curl去几个网站去下载一些脚本。 -
删除定时任务,crontab -e,将定时任务中的脚本删除。
-
查看/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root下是否存在上述脚本,如存在,也一并删除。
-
查看/etc/cron.d目录下是否存在0bffbe,如存在,则删除。
-
删除/tmp/下的定时任务临时文件
cd /tmp
rm -rf .crontab.zKiWDd.swp
- 删除/root/.bffbe脚本,若删除过程中,提示Operation not permitted,则可使用lsattr -a命令查看文件是否存在i属性,可先使用chattr -i命令去除i属性后再删除。
lsattr -a .bffbe
chattr -i .bffbe
rm -rf .bffbe
- 全盘搜索bffbe文件,并删除。
find / -name bffbe
- 检查开机启动服务中是否有该脚本,如有则删除。
- 删除ssh免密登录。
cd /root/.ssh/
rm -rf authorized_keys
11.修改redis服务方式,添加密码。
12. 如经过上述操作,进程扔在一段时间还会复现的话,则先停止定时任务,将base64后的脚本中的访问的网站通过防火墙禁止访问,或通过hosts文件将网站的域名先配置为本机ip。