寫在前面
之前服務器借人用設了個弱口令,大概這就是被暴破的原因吧。所以寫在開頭,切記做好服務器防護!如提高口令復雜度,登陸失敗鎖定等。做肉雞不可怕,就怕數據丟失,數據安全是第一要義。本人也並非專業的安全人員,所以只能業余的在這里記錄一下了,如果能給到各位有所參考,那實屬榮幸。
問題發現
直接發現服務器上面的業務響應比較慢,以為是其他網絡一些原因導致的也沒在意;后來給服務器掛載了一個數據盤,登錄服務器發現比較卡,而且密碼已經被篡改,考慮到服務器是借他人使用密碼被改也是正常,當時也沒放心上去排查,只是印象中看了一眼 top,負載已經有幾十了。
昨晚朋友業務需要升級,協助登錄后發現 top 占用高達60+,但是下方展示的內容並沒有發現占用很高的進程,重啟后發現負載仍舊在20+,遂聯系客服,考慮是宿主機問題或是被挖礦病毒。
很感謝騰訊雲客服的排查,最終鎖定了“bioset”。系統由於被感染的文件較多,Linux靜態鏈接庫被劫持,挖礦的進程被隱藏,所以直接是看不到的,最終我選擇了將業務打包遷移后重裝系統了。
問題排查
因為 top 等一些命令都被篡改了,包括騰訊雲后台監控也被破壞,數據無法加載出來,且輕量服務器流量有限,此病毒也未使用大量流量和內存,所以一直都沒發現(最近各大雲服務商打擊挖礦行為,倒是沒被通知)。在搜索引擎上搜索關鍵詞“bioset”發現有部分用戶也曾經被攻擊,但是表現並未有對 top 等命令的破壞,所以網絡上文章對 top、crontab 等命令可發現 bioset 進程相關信息,但是這次情況就比較隱秘。
針對系統命令被劫持,上傳 “busybox”工具,通過命令查看可見病毒進程。
./busybox top
根據PID查看進程運行狀態,可見此病毒程序的路徑。
systemctl status 1367
於是嘗試將殺死進程和刪除文件均無效,文件已經被隱藏且鎖定。
在嘗試數次后終於將病毒文件刪除,具體命令見下圖。由於文件被加上了 i 屬性,無法直接刪除,嘗試用chattr命令移除 i 屬性。
在成功刪除后對 bioset 進程殺死,進程沒有重新啟動,top 查看負載已經降低。
不過由於被篡改的文件較多,所以最后還是選擇了重裝系統,平時還是要多注意服務器安全防護,防止服務器上數據泄露,以免服務器被攻擊成為肉雞。有些地方表達不是很專業,不過過程還是很有意思的。