服务器中了挖矿病毒,怎么都清理不掉
早上发现服务器负荷一直很高,用top看到是一个叫kthreaddk的进程占用了很多资源,kill 之后又会重启,并且crontab中有一个定时任务也清理不掉,crontab -e删除之后马上又出现了一个新的定时任务,第一次碰到这种病毒,不知道该怎么办了,家人们定时任务是这样的:
* * * * * /disk_sda/0523无人机/103MEDIA/qrgiz0
对于我这种选手,只会格式化硬盘,重装 本帖最后由 SafeTech 于 2021-7-20 14:14 编辑
limit7 发表于 2021-7-20 12:26
去年我也碰到过一个,所有系统自带命令都查不到这个进程,什么 top,ps -elf都看不见,但cpu一直100%,网络 ...
看不见的这种情况可能是因为对关键函数进行了Hook,参考如下
https://www.freebuf.com/articles/web/271281.html 本帖最后由 869175743 于 2021-7-20 11:43 编辑
先找到定时任务 crontab -l , 进入对应的路径,里面会有卸载的脚本,直接执行即可。(如果没有的话那应该是另一种挖矿程序,可以联系我)再找到正在运行的挖矿程序,也就是占cpu最多的那个,find -name找到位置,使用vim命令,在第一行直接加!,完美解决。不过这种处理方式不完美,定时任务还是会走,但是占用的资源就小很多了,0.3%吧 看到楼主已经处理完了,分享一点我自己处理类似问题的想法
- Linux里面查看登录信息 使用 last或lastb,看到楼主使用华为云后缀的obs分享文件,猜测楼主可能用的云主机,云主机可以选择在安全防护策略里先封堵查到的异常IP,比如你的业务客户主要是北京地区的,总有国外的访问你,这就是异常IP,无差别封堵即可。你的客户固定是普通用户,总有一个某某公司或者某某单位访问你,这种也可以先先封堵。有些攻击者为了掩盖自己的访问,会大量的刷密码破解,本意不在破解,在于产生大量的日志,干扰你的判断。
- 异常进程并非只看计划任务,计划任务之外会有一个不占用资源的进程用来定时的检查攻击进程或者攻击的计划任务,除了root权限,普通用户也在排查范围内,普通用户虽然权限低,但较多普通用户是有权限去创建文件的,只要创建了文件,就有被执行的机会。我们排查时,经常被资源占用最多的进程吸引,但占用资源少的新增进程也在怀疑的范围内。 root身份运行的,查一下你用root跑了哪些应用,是不是应用里有漏洞, 去年我也碰到过一个,所有系统自带命令都查不到这个进程,什么 top,ps -elf都看不见,但cpu一直100%,网络信息里能看到有连接矿池的ip。一直解决不了,后来服务器商警告了很多次,重做系统了。
怎么处理我不知道,但是怎么来的我知道,给各位提个醒。
是因为使用了旧版redis,而且是默认端口。对外公开,从这里来的。 https://blog.csdn.net/qq_33716731/article/details/115372917这篇文章写的比较详细可以参考一下 定时任务的文件 提取出来发下 这是那个定时任务:
https://shuxiai.obs.cn-north-1.myhuaweicloud.com/datafiles/qrgiz0 limit7 发表于 2021-7-20 12:26
去年我也碰到过一个,所有系统自带命令都查不到这个进程,什么 top,ps -elf都看不见,但cpu一直100%,网络 ...
我这个貌似是因为使用frp代{过}{滤}理了内网的什么服务有漏洞 优先查看定时任务,然后清理之后还是有就看看systemctl status pid号