伺服器被植入挖礦病毒的處理
故障描述:一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。
(同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵)。
經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為:system、wipefs、ps、cranberry
故障排查步驟:
檢視情況如下:
發現確實有乙個異常ip 180.235.138.183在與我司伺服器通訊,呼叫的程序是system
操作:斷開網路
將該ip加入到防火牆的reject名單中
系統負載超過90,程序是「system」
操作:kill掉該程序
再通過top去看,負載立刻降低
發現在/bin下面
操作:刪掉該檔案
/etc/init.d/sytem
/bin/ddus-uidgen
/etc/rc0-6相關的所有目錄下s0打頭的所有檔案,發現其它奇怪的二進位制檔案,一併刪除
/etc/rc0-6相關的所有目錄下acpidtd打頭的所有檔案,,發現其它奇怪的二進位制檔案,一併刪除
刪除 /tmp/gates.lod ,並建立乙個許可權為000 的文字空檔案gates.lod
刪除 /tmp/moni.lod ,並建立乙個權權為000的文字空檔案moni.lod
查詢/bin /usr/sbin下所有檔案大小為1.2m的檔案,如果有,則說明被感染了,使用正常系統的檔案替換掉這些檔案。
本次查詢發現ps/ss/lsof/nestat四個命令被感染了,先刪掉這些命令,然後使用本地虛擬機器中的命令將其替換
cat /etc/rc.d/init.d/selinux
cat /etc/rc.d/init.d/dbsecurityspt ,
ls /usr/bin/bsd-port
ls /usr/bin/dpkgd
檢視後發現機器中有,全部刪掉,在該資料夾下建立乙個許可權為000的同名文字檔案。
/etc/crontab
本次檢視沒有。
/etc/rc.d/rc.local
開啟網路再用top命令監控30分鐘。
結果:網路再次被占用,共迴圈了三次,感染的程式為wipefs、ps、cranberry,採用相同排查方法排查。直到晚上7點00,監控半小時後沒有再**。
挖礦病毒的特點:
a) 進行挖礦計算,大量占用cpu。
b) 複製自己到/bin/下,建立服務/etc/init.d/下,在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。
c) 釋放子程式到 /bin/ddus-uidgen,建立服務/etc/init.d/acpidtd,並在 /etc/rc.d 和 /etc/rc.d/rc.d 中建立鏈結以實現開機啟動。
d) 修改/etc/resolv.conf, 可能是為其連線礦機服務的網域名稱做服務。
e) 修改/etc/crontab, 為自己建立定時任務,每天12點與0點開始執行。(所以你會發現第二天又啟動了)
f) 修改開機啟動項rc.local
g) 修改bin /etc/sbin中的一些系統檔案為相同大小的病毒檔案,
我們在修復的時候要做的就是遵循以下步驟
(一) 殺掉占用資源的程序
(二) 全域性查詢病毒檔案,刪掉
(三) 遮蔽掉異常ip
(四) 刪除掉病毒生成的異常檔案,並同名的許可權為000的文字檔案
(五) 刪掉病毒生成的開機啟動項
(六) 刪掉病毒生成的定時任務
(七) 修復病毒修改的ps / ss /lsof /netstat 等系統檔案
Centos 7 4 伺服器 被植入挖礦木馬
背景 最近由於在弄springboot shiro的redis session共享的問題,所以在伺服器上部署了redis,因為沒有太多的考慮所以沒有設定密碼。等到第二天的時候,發現redis外網無法訪問內網可以。檢視埠繫結情況 netstat antlp grep 6379 發現繫結沒有問題 檢視本...
雲伺服器的挖礦病毒。
朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100 我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill 9 pid瞬間消滅!垃圾病毒...
伺服器處理挖礦
使用top查詢程序 某個程序占用cpu或記憶體過分,查之 如 進入目錄,分析裡面的檔案,進入 etc下,分析如update類似的檔案。處理過程 chattr i 檔案 rm rf 檔案 如果是root使用者感染的病毒 vim etc selinux config 將selinux disabled改...