故事背景
最新收到報警消息,一直提示服務器CPU 100%,然后登入服務器用top一看,發現並沒有進程特別占用CPU,馬上第一直覺就是top命令已經被篡改。需要借助其他的工具。
安裝busybox
系統有故障,登錄后如果發現用正常的命令找不到問題,那么極有可能該命令被篡改。
BusyBox 是一個集成了三百多個最常用Linux命令和工具的軟件,里面就有我需要的top命令。
> busybox top
終於看到了這個
kthreaddi進程,上網一查這個東西叫門羅幣挖礦木馬,偽裝的實現是太好了和系統中的正常進程kthreadd太像了。
清理門羅幣挖礦木馬
常規方式先試試
> kill -9 6282
過一會又起來了,說明有守護進程
檢查系統中的定時任務
> crontab -l
0 * * * * /tmp/sXsdc
發現一個這,一看就不是什么好東西,直接清理
crontab,crontab -edd:wq!一頓操作,觀察了一會發現又出來0 * * * * /tmp/xss00,可執行程序的名字還變,看來處理這個無濟於事,這些文件都是二進制的,直接打開查看,也看不出啥。
去內核數據目錄找找看
> ls -al ll /proc/6282
6282是剛才那個挖礦進程
原來在 tmp下面有文章 ,但是被 deleted,不管先去看看
> /tmp/.dHyUxCd/
> ls -al
config.json 里面都是一些配置,里面找到一個美國的IP
清理病毒
- 刪除
/tmp/.dHyUxCd/目錄 - kill -9 挖礦進程pid
- reboot重啟
總結
本次服務器被挖礦,有可能是docker沒有TLS通訊加密,也有可能是redis的弱密碼,被入侵。先把docker停掉(后面抽空Docker啟用TLS進行安全配置),redis密碼強度加高一點。
原文鏈接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
微信公眾號:入門小站