一、病毒特征(sysupdate、networkservice)
內存占用率極高,使用top指令,%CPU下占用內存的程序為sysupdate、networkservice
查看定時任務日志,可觀察/etc/update.sh反復運行
more /var/log/cron log | grep "update"
# 日志輸出下面的語句
Jun 22 09:00:02 localhost CROND[23069]: (redis) CMD (sh /etc/update.sh >/dev/null 2>&1)
二、病毒入侵漏洞
病毒為挖礦病毒,利用Redis的未授權訪問漏洞進行攻擊。
Redis 默認配置為6379端口無密碼訪問,如果redis以root用戶啟動,攻擊者可以通過公網直接鏈接redis,向root賬戶寫入SSH公鑰文件,以此獲取服務器權限注入病毒。
三、殺毒
1. 命令行直接輸入top語句,獲取病毒的PID.
2. 查看病毒文件地址
# 輸入 ls -l /proc/#{病毒PID}/exe 查看病毒路徑為/etc
# 或者輸入 systemctl status #{病毒PID}
# 關注CGROUP顯示的文件
3. 殺死病毒進程
kill -9 #{病毒PID}
4. 刪除定時任務
cd /var/spool/cron
ls
# 刪除文件名和病毒名稱一致的文件
chattr -i redis
rm -rf redis
5. 將病毒文件解除鎖定並刪除
# 解除鎖定 chattr -i #{文件名}
# 刪除文件 rm -rf #{文件名}
# 文件名: /etc/sysupdate /etc/sysupdates /etc/update.sh /etc/config.json /etc/sysguard /etc/networkservice
chattr -i sysupdate sysupdates update.sh config.json sysguard networkservice
rm -rf sysupdate sysupdates update.sh config.json sysguard networkservice
6. 解除SSH公鑰后門
# 解除鎖定
chattr -i /root/.ssh/authorized_keys
# 編輯權限
chmod 777 /root/.ssh/authorized_keys
# 清空authorized_keys
vi /root/.ssh/authorized_keys
# 清空后恢復權限
chmod 400 /root/.ssh/authorized_keys
# 鎖定authorized_keys
chattr +i /root/.ssh/authorized_keys
# 防止通過重命名.ssh文件夾繞過設置
chattr +i /root/.ssh
7. 堵上Redis的漏洞
自行選擇解決方案:
- 更改redis訪問端口
- 設置redis密碼
- 以低權限運行 Redis 服務。