linux 实战清理挖矿病毒 kthreaddi
故事背景
最新收到报警消息,一直提示服务器 CPU 100%,然后登入服务器用 top 一看,发现并没有进程特别占用 CPU,马上第一直觉就是 top 命令已经被篡改。需要借助其他的工具。
安装 busybox
系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。
BusyBox 是一个集成了三百多个最常用 Linux 命令和工具的软件,里面就有我需要的 top 命令。
终于看到了这个
kthreaddi
进程,上网一查这个东西叫门罗币挖矿木马
,伪装的实现是太好了和系统中的正常进程kthreadd
太像了。
清理门罗币挖矿木马
常规方式先试试
过一会又起来了,说明有守护进程
检查系统中的定时任务
发现一个这,一看就不是什么好东西,直接清理
crontab
,crontab -e
dd
:wq!
一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00
,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。
去内核数据目录找找看
6282
是刚才那个挖矿进程
原来在 tmp 下面有文章 ,但是被 deleted,不管先去看看
config.json 里面都是一些配置,里面找到一个美国的 IP
清理病毒
删除
/tmp/.dHyUxCd/
目录kill -9 挖矿进程 pid
reboot 重启
总结
本次服务器被挖矿,有可能是 docker 没有 TLS 通讯加密,也有可能是 redis 的弱密码,被入侵。先把 docker 停掉(后面抽空 Docker 启用 TLS 进行安全配置),redis 密码强度加高一点。
原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html微信公众号:入门小站
回复【1001】获取 linux 常用命令速查手册
回复【10010】获取 阿里云 ECS 运维 Linux 系统诊断
回复【10012】获取 Linux 学习笔记【强悍总结值得一看】
回复【10013】获取 shell 简明教程
版权声明: 本文为 InfoQ 作者【入门小站】的原创文章。
原文链接:【http://xie.infoq.cn/article/aece9e537d2da5c5b6542fd12】。文章转载请联系作者。
评论