Linux 服務器上有挖礦病毒處理
分析
今天遇到病毒挖礦,有點小興奮。
來波分析:
看上面的症狀是:攻擊者通過docker入侵的【後面瞭解,可能是redis賬號密碼簡單的原因被爆破的】
最奇詭的事,攻擊者可能通過提權,獲取到root的權限。然後一些列的挖礦病毒
大致流程圖
症狀表現
服務器CPU資源使用一直處於100%的狀態,通過 top 命令查看,發現可疑進程
解決
排查方法
首先:查看 bbb進程,使用 ps -ef | grep bbb
PS: 通過 ps -ef 命令查出 bbb進程號,直接 kill -9 進程號並刪除 /tmp/bbb執行文件。但沒有過1分鐘進程又運行了,這時就能想到,bbbb有守護程序或者有計劃任務。通過 crontab -l 查看是否有可疑的計劃任務。
定時任務
看來有貓膩,準備刪除這些定時任務【但是無法刪除】
注意:無法刪除,原因被chatter 上鎖了
那我就開鎖就行
重點
當你解開鎖時時,但是你去刪除這個文件,全是無法刪除。再看看權限,又被鎖住了。【攻擊者你很騷氣啊】
咦,我發現了郵件服務,每當我運行權限腳本時,都會發送一個郵件到/var/spool/mail/root
You have new mail in /var/spool/mail/root提示
看到這個,我有點起疑心了。
懷疑:爲啥我們平常的服務器上沒有出現這個,但現在爲啥會出現郵件。【突破點】
我想想了,可能是通過mail的提示來檢測我的服務器操作,從而重新執行腳本。
OK。那我就幹掉你,看你怎麼檢測
第一步:關閉提示
echo "unset MAILCHECK">> /etc/profile
source /etc/profile
第二步:查看
ls -lth /var/spool/mail/
第三步:清空
cat /dev/null > /var/spool/mail/root
定時任務清空【完成】
讓你們瞭解一下chatter鎖。想深入可以百度瞭解看一下
lsattr可用來查看文件的屬性:
lsattr filename
如果文件屬性中有i與a,或者有其中的一個
可以使用chattr去掉這屬性:
chattr -ia filename
這次來試試,OK了,文件清空。
bbb程序刪掉
top查看
分析運行路徑
第三步:kill 掉 bbb守護進程 kill -9 25800,最後刪除 bbb執行程序 rm -f /var/tmp/bbb。
但是這個腳本也被chatter了,需要解鎖才能刪除。
解鎖,刪掉。
curl程序刪掉
上面的病毒搞完了,但是還有curl後臺程序運行。
開機自啓,是什麼位置
刪掉這些程序,重啓一下
服務器穩定運行,沒有病毒程序。
SSH祕鑰刪除
攻擊者可能在/root/.ssh/裏面留他們的祕鑰,所以我們要清理掉。重新生成祕鑰。
後期防護
- 啓用ssh公鑰登陸,禁用密碼登陸。
- 雲主機:完善安全策略,入口流量,一般只開放 80 443 端口就行,出口流量默認可以不限制,如果有需要根據需求來限制。物理機:可以通過硬件防火牆或者機器上iptables 來開放出入口流量規則。
- 本機不是直接需要對外提供服務,可以拒絕外網卡入口所有流量,通過 jumper 機器內網登陸業務機器。
- 公司有能力可以搭建安全掃描服務,定期檢查機器上漏洞並修復。