Centos 7 4 伺服器 被植入挖礦木馬

2022-04-09 15:58:43 字數 4093 閱讀 3315

背景

最近由於在弄springboot shiro的redis session共享的問題,所以在伺服器上部署了redis,因為沒有太多的考慮所以沒有設定密碼。

等到第二天的時候,發現redis外網無法訪問內網可以。

檢視埠繫結情況  netstat -antlp | grep 6379 發現繫結沒有問題

檢視本地的路由,發現繫結到了127.0.0.1

發現繫結問題之後,就增加一條路由規則

iptables -i input -p tcp --dport 6379 -j accept

病毒**

function


tables()
增加了之後終於外網能訪問了,利用redisdesktopmanager 再次連線後,發現內容裡面多了兩條定時任務,感覺很奇怪也沒在意,以為不是很大的問題,反正能用也沒在意。

終於第三天redis又不能訪問了,而且又增加了一條本地埠對映的路由規則。

感覺上伺服器有一些問題,馬上看了下 伺服器ssh登入的 authorized_keys檔案,發現裡面內容key增加了不少。

檢視伺服器的定時任務 crontab -l 始終會有一條定時任務,採用命令crontab -r 進行刪除,1分鐘後又會自動生成

原理

下面為部分的定時任務**

function


top()
定時任務路徑

function


echocron()
病毒程式**

}解決方案1.排查使用者是否增加。有增加進行刪除(該概率比較小)

3.檢視所有定時任務執行指令碼,明確本地的程式。定時任務檢視 crontab -l 檢視伺服器定時任務,定人任務中包含 wget **後面跟了  sh(忘記截圖,只能描述一下),然後根據定時任務中的**進行瀏覽器訪問,會得到一大串的亂碼,將亂碼複製,然後貼上到base64解碼工具中進行解碼,可以獲得 定時任務執行的命令。然後分析對應個的指令碼內容。會檢視到本地的執行程式 libudev.so ,也可以看到指令碼中增加了6379增加了本地路由規則,檢視到程式後 進行刪除,不刪除程式,則會不斷增加定時任務到 系統中。(因為已經處理,所以不能配圖了)

4.刪除定時任務。1) crontab -r 刪除任務 2) cd /etc/cron.d  刪除apache,及root(經檢視本次中的內容跟網上的不太一樣,這幾個檔案中均有定時任務,所以進行了刪除)

5.檢視進行。top -c 檢視占用cup很高的程序(因為已經刪除所有不能進行配圖),檢視到kworkerds 進行,路徑在 /tmp下。 kill -9 pid 進行殺死進行,然後進行目錄下進行刪除內容

指令碼iptables -a input -s xmr.crypto-pool.fr -j drop

iptables -a output -d xmr.crypto-pool.fr -j drop

iptables -a input -s pastebin.com -j drop

iptables -a output -d pastebin.com -j drop

rm -rf /bin/dns


crontab -r


rm -rf /etc/cron.d


rm -rf /etc/crontab


rm -rf /usr/local/lib/libdns.so


rm -rf /usr/local/lib/libdns.so


rm -rf /etc/ld.so.preload


rm -rf /tmp/.pythong


rm -rf /var/spool/cron


rm -rf /etc/cron.hourly


rm -rf /etc/cron.daily


rm -rf /etc/cron.monthly


rm -rf /tmp/.tables


rm -rf /etc/init.d/agentwatch


rm -rf /usr/sbin/aliyun-service


rm -rf /usr/local/aegis*


killall kworkerds


rm -rf /tmp/kworkerds


rm -rf /var/tmp/config.json


rm -rf /tmp
一段時間後發現 系統定時任務已經不會在增加,並且已經不純在高消耗cpu的程序了。

總結

2.給redis增加上安全控制(很重要)

阿里雲伺服器Centos7 4安裝Nginx步驟

root xyuser wget root xyuser tar xvf nginx 1.6.2.tar.gz因為nginx有依賴,所以先將nginx的一系列依賴安裝好 yum install gcc c yum install y pcre pcre devel yum install y zli...

阿里雲CentOS7 4上搭建FTP伺服器

第一步 首先判斷是否安裝了vsftpd rpm qa grep vsftpd 第二步 如果沒有安裝則安裝vsftpd yum y install vsftpd 從第三步開始為補充知識點,不用執行第三步 檢視服務的狀態 systemctl status vsftpd systemctl start v...

騰訊雲伺服器CentOS 7 4環境配置

安裝防火牆 yum install iptables services安裝成功後 編輯防火牆配置檔案 vi etc sysconfig iptables在檔案裡輸入如下 firewall configuration written by system config firewall manual c...