在某次登錄個人的雲服務時,發現出現挖礦機程序。
1.找出病毒
當發現服務器卡的時候,我們可以采用top命令,如下顯示
我們注意到有個user為tomcat的用戶 以及后的command后面為networkservice.這個命令很像我們的系統命令。
但是從CPU來看,占用很大。
2.確認病毒
我們可以用top命令 來查看幾個占用資源很大的進程號。我們可以根據進程號來查找關聯的其它的進程,可以通過以下命令:
systemctl status 27054
執行以上命令會出現該進程號相關聯的進程。
為了獲取絕對路徑,使用:
ls -l /proc/{pid號}/exe
3.刪除病毒
進入到/etc目錄下,
我們可以看到有sysupdate、networkservice、sysguard三個文件,這三個文件都是二進制文件,這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件,這應該是對挖礦病毒升級用的。這個update.sh怎么找出來的呢,其實是通過定時程序里面的cron找出來的。
我們可以看到有sysupdate、networkservice、sysguard三個文件,這三個文件都是二進制文件,這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件,這應該是對挖礦病毒升級用的。這個update.sh怎么找出來的呢,其實是通過定時程序里面的cron找出來的。
config.json(挖礦配置)、sysupdate(XMR挖礦軟件)、update.sh(本腳本)、networkservice(scanner 掃描並入侵其他的主機)、sysguard(watchdog 用於監控並保證病毒的正常運行以及更新)並保證他們以root權限運行。
如下圖所示
這里我們使用命令lsattr -a 查
看文件下下邊包含文件的屬性,看到`./.有個'i'屬性,代表不得任意更動文件或目錄,正是此屬性在作祟,因為 病毒使用了chattr +i的命令:
執行以下命令:
再執行一下:lsattr -a
這時再執行刪除命令:rm -rf tomcat
發現原先不能刪除的tomcat文件,此時可以刪除了。
同樣的道理 我們cd到/etc目錄下 查看
sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候,你可能會發現無法刪除,因為病毒使用了chattr +i 命令,使用如下命令即可刪除
這時候,你可能會發現無法刪除,因為病毒使用了chattr +i 命令,使用如下命令即可刪除
chattr -i sysupdate
rm -rf sysupdate
每個無法刪除的文件,都執行如上命令,即可實現刪除文件
最后還有一個地方就是刪除/root/.ssh/authorized_keys
可能攻擊者已經在這里配置了登陸,攻擊者可以隨便登陸你的服務器。
最后發現服務器沒有那么卡了。