服務器被植入挖礦,剛解決完,參考文章!
上午重啟服務的時候,發現程序啟動死慢,用top命令查看了一下,cpu被占用接近100%,所以無法運行新程序,通過top命令然后輸入P,就能看到有兩個程序幾乎占用了所有的CPU,占用率為700%左右,程序名稱為:minerd和AnXqV兩個,通過搜索知道是挖礦程序,通過kill命令及pkill命令是無法直接解決的,找到了一個教程,http://www.cnblogs.com/zhouto/p/5680594.html,參考的這個進行的處理,基本上搞定了,不過里面有很多細節的地方這里記錄下來。
1、關閉訪問挖礦服務器的訪問:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
2、找到minerd程序:
find / -name minerd*
發現程序在/opt下面,同時發現另外的一個異常文件
KHK75NEOiq33和minerd
3、去掉執行權限
chmod -x KHK75NEOiq33 minerd
4、殺掉進程,kill或pkill隨你喜歡
pkill minerd
pkill AnXqV
5、清除定時任務:
systemctl stop crond
我們的系統因為沒有其他定時任務,所以可以直接這樣,如果有需要自己手動備份自己的定時任務,然后清理掉其他的定時任務,情景分析后處理
6、清除文件
除了opt下面的兩個異常文件需要清除,/tmp文件夾下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> AnXqV ddg.217 ddg.218 ddg.219 duckduckgo.12.log duckduckgo.17.log duckduckgo.18.logduckduckgo.19.log
這里的文件有個duckduckgo的,大約是翻牆用的搜索對應的進程有ddg.217/218/219
7、清除未知的授權
進入 ~/.ssh/目錄,發現多個異常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授權,這里可以看到有REDIS000…的授權key,我們自己沒有設置過,所以直接刪除之
8、元凶分析
有說是redis低版本存在的一個漏洞,有人利用這個漏洞提升權限,然后放置了挖礦工具,所以就將默認的端口改了,密碼改了,重新啟動了服務,基本上能過一段時間了