事出有因
徹底清理
後感事出有因
1 近期突然發現伺服器應用經常down,重啟防火牆重啟程式有一段時間正常
2 然後檢視系統top程序,發現有/bin/exin程序瘋狂占用cpu
檢視iptables防火牆資訊,發現防火牆被串改增加了很多未知位址的訪問。
檢視crontab 發現無數定時
檢視這個定時,發現這個果然跟這個程序有關係
發現了就清理就是,把這些指令碼全部清空,把crontab -r清理,本以為就ok了。
結果,一會兒伺服器應用又不正常,又down了。進來一看,exin程序死灰復燃。
開始了一段深挖的過程
挖挖挖。。挖的太快,清理的太快就沒有截圖,反正是在/etc/cron.*這些定時相關的中存在了很多正常伺服器中不會有的定時,比如(打個碼,免得別有用心的人也用來挖礦)。
他一直去檢測系統程序,沒有就會去網上下。
然後我就把這個指令碼給下下來。發現。。。奶奶的,改了系統這麼多地方,截一部分出來
其中一段:
其中另外一段。改動不少啊。
徹底清理
看著看著,也發現了其中的挖礦**
搜尋了一下,發現是門羅幣挖礦程式
檔名 xmrig-3.2.0-xenial-x64.tar.gz』
好吧,指令碼都有了,修改的地方也知道了。那就徹底rm咯。。**主要涉及檔案如下,我是全部rm -rf
lcf1="/dev/shm/swapfile"
lcf2="/bin/config.json"
lex="/bin/exin"
c1="/etc/cron.d/spool"
c2="/etc/crontab"
c3="/var/spool/cron/root"
c4="/etc/cron.hourly/agetty"
c5="/usr/bin/unattended-upgrades"
c6="/etc/crond"
td="/usr/local/includes"
shk="ssh-rsa aaaab3nzac1yc2eaaaada
結果發現刪不掉
研究了一下。發現,程式為了防止被刪竟然chattr加鎖。
了解一下了才知道用lsattr檢視檔案許可權
chattr 加減號去掉對應許可權後刪除。
比如這裡應該是chattr -ia exin即可執行rm -rf exin
後感回想為何會中毒。其實是因為自己把雲伺服器的入方向和出方向全放開導致的。導致有漏洞掃瞄的人能利用各種漏洞埠來植入病毒。
怎麼辦呢。許可權控制起來,阿里雲和華為雲的雲伺服器安全組都可以很好的控制出入訪問。因為我這個是特地人群訪問,所以,每個人上報ip全部加入 入方向許可權控制就可以控制了。但是感覺既然都限制了,就把iptables也重寫規則。雙重限制了一下,觀察了幾天,一切正常了。
挖礦程序如何處理
說明 挖礦程式一般有主程序和守護程序組成,有些還會通過crontab來啟動定時任務 排查過程 進入挖礦主程序的proc檔案下檢視程序基本資訊,可檢視到程序的執行路徑 cwd檔案 可執行程式所在的路徑 exe fd資料夾下會有網路相關的資訊,一般如此即可發現很多資訊 檢視crontab有無異常情況 檢...
秒殺kdevtmpfsi挖礦程序 殺不掉來砍我!
一 找到挖礦程式程序號,記憶體占用最高的就是最上面那個,可以看占用記憶體進行排查 top二 根據上面的程序號找父程式,這個程序普通kill關閉不掉,是因為父程序一直會將子程序啟動。需要殺掉父程序 systemctl status 程序號三 找到父程序後關掉active變色字型下面的程序,他會出多個程...
Python fork 守護程序《轉》
coding utf 8 import sys,os 將當前程序fork為乙個守護程序 注意 如果你的守護程序是由inetd啟動的,不要這樣做!inetd完成了 所有需要做的事情,包括重定向標準檔案描述符,需要做的事情只有 chdir 和 umask 了 def daemonize stdin de...