linux实战清理挖矿病毒kthreaddi
故事背景
最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。安装busybox
系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。
【linux实战清理挖矿病毒kthreaddi】BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。
> busybox top
文章图片
终于看到了这个清理门罗币挖矿木马kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。
常规方式先试试
> kill -9 6282 过一会又起来了,说明有守护进程检查系统中的定时任务
> crontab -l
0 * * * * /tmp/sXsdc发现一个这,一看就不是什么好东西,直接清理去内核数据目录找找看crontab,crontab -edd:wq!一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。
> ls -al ll/proc/6282
6282是刚才那个挖矿进程
文章图片
原来在 tmp下面有文章 ,但是被 deleted,不管先去看看
> /tmp/.dHyUxCd/
> ls -al
文章图片
config.json 里面都是一些配置,里面找到一个美国的IP
文章图片
清理病毒
- 删除
/tmp/.dHyUxCd/目录 - kill -9 挖矿进程pid
- reboot重启
本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。先把docker停掉(后面抽空Docker启用TLS进行安全配置),redis密码强度加高一点。原文链接:https://rumenz.com/rumenbiji/...
微信公众号:入门小站
推荐阅读
- Linux下面如何查看tomcat已经使用多少线程
- Beego打包部署到Linux
- 《机器学习实战》高清中文版PDF英文版PDF+源代码下载
- --木木--|--木木-- 第二课作业#翼丰会(每日一淘6+1实战裂变被动引流# 6+1模式)
- 15、IDEA学习系列之其他设置(生成javadoc、缓存和索引的清理等)
- Linux|109 个实用 shell 脚本
- linux定时任务contab
- 芯灵思SinlinxA33开发板Linux内核定时器编程
- 2020-07-29《吴军·阅读与写作50讲》24实战才能转化效能
- day16-Linux|day16-Linux 软件管理