背景:客戶服務器被掛載木馬病毒用以挖礦(比特幣)。
本次清理通過Linux基本命令完成。其原理也比較簡單,通過ps命令查看服務器異常進程,然后通過lsof命令定位進程訪問的文件,找到異常文件刪除之,最后為了確保萬無一失,可以通過find命令找出最近時間內服務器上產生的文件進一步排除。
剛開始通過top命令發現某個進程占據大量系統CPU資源,但是該進程確不是我們系統業務進程。通過kill -9 PID 殺掉該進程,觀察一會后,進程又恢復了。懷疑是定時任務拉起的,固排查了下定時任務相關的配置文件/etc/crontab文件,果然文件中存在一條新增加的內容,干掉該條配置,並找到它的啟動的可執行文件,刪除之。繼續殺掉進程,可是發現該進程又被拉起了。看來不止定時任務,可能還有其他守護進程存在。
利用ps命令查看最近啟動的所有進程:ps -aux --sort=start_time |tail -n 50
通過分析,找到有幾個進程存在問題,有啟動腳本的,有wget從網絡上下載文件的進程。
通過lsof -p pid定位以上異常進程訪問的相關文件資源,刪除非系統文件后kill對應進程。
觀察一段時間后發現又有異常進程起起來了。這時候就開始頭疼了,還有什么地方呢。會不會是一些系統文件被感染了?順着這條思路,找到最近一段時間被修改的文件列表
find $path -ctime -30 print
把/usr /root /tmp /bin等系統目錄找了個遍,發現大量異常文件,其中甚至有一些常用的命令如:ps netstat lsof wget 等被篡改過(通過stat命令查看狀態)。
並且以上系統命令大小一模一樣,算了下md5也一樣,果然有問題。把對應命令文件拷貝出來,放到在線病毒庫對比一看,果然是病毒。先用正常服務器的對應文件替換被感染的系統命令。然后再按照之前清理步驟再清理一遍。好了,觀察了一會,沒有進程文件再被拉起了。
接下來,追蹤下最近修改文件,看看能不能找到黑客是怎么入侵進來的。我們發現在activemq目錄下存在大量異常jsp文件,查看其內容,簡直就是一個網頁版的命令執行工具啊。看來咱服務器用的activemq存在漏洞,被黑客利用了,植入后門文件,然后利用wget命令下載病毒完成病毒植入,再利用命令執行工具,完成相關進程部署。臨時應急方案,我們選擇屏蔽activemq的管理頁面的訪問權限(之前對公網開放了該端口)。本次病毒清理也到此結束了。
反思:對服務器上一些開源組件的使用時,我們應該保持警惕,不能說完全不用,但是要隨時關注組件的漏洞情況,及時修復,同時,對於一些非公共資源的訪問,避免對公網開放。養成定期對系統做安全檢查。