一、背景
最近有开发反应A环境的一台服务器巨慢,就上服务器看看情况。发现cpu持续400%,意识到这台服务器已经被入侵了。下面是我整个的排查思路,希望对大家有所帮助。
二、挖矿病毒排查思路
2.1 查看异常进程
登录服务器通过top命令,发现有一个进程cpu使用率300%多,而且这个进程的名字很奇怪,是一个随机字符串,截图如下:
2.2 kill掉该进程
使用命令kill -9 27596结束该进程,发现cpu的占有率立即下降到合理水平,而且服务器的整体响应速度明显提升,从而确定就是该进程捣的鬼。
2.3 挖矿病毒又起来了
- 但是过了一段时间后又出现了服务器响应速度变慢的情况,又执行了以上操作,从而确定该进程是被后台定时启动的,再一次检查系统定时任务,使用命令crontab -l,发现了确实有一个定时任务,如下:
[root@test222 ~]# crontab -l
0 * * * * ~/.systemd-login
[root@rabbit03 ~]#
- 再一次top查看进程,出现了同样的随机字符串的异常进程,于是开始查看这个shell具体是做什么的,使用more命令查看:
- 于是将这个base64放到在线解码系统中解码,得到如下明码:
- 从而发现该脚本是从远程服务器获取执行代码,然后随机时间启动,是一种典型的脚本注入入侵。
三、清除挖矿病毒
3.1 正常思维的方式
- 删除了定时任务,挖矿脚本,但是并没有什么用,过段时间这个挖矿病毒还是会自己起来,导致cpu暴增
crontab -e //编辑并删除定时任务
rm -rf ~/.systemd-login
3.2 关掉一些不常用的服务
- 我们怀疑通过tomcat应用(黑客利用tomcat8存在的漏洞)攻击进来的,于是我们先把服务停掉了所有tomcat应用,依然没什么用,cpu过段时间还是会暴增
3.3 升级系统版本,只开放必须对外开放的端口,修改默认ssh端口号
1.挖矿病毒已经入侵系统了,会定时的自己启动起来,于是我决定重置系统
- 我们把带有挖矿病毒的系统做成了快照。然后重置了系统。买了一个数据盘选择了这个快照作为初始数据,然后挂载到了那台机器,把需要拷贝的东西都拷贝出来再重新启动了服务,最后释放那个由挖矿病毒快照的数据盘
2.我们加强了对安全组的限制,只开放一些必要的端口号出来,对外部攻击保持敬畏
3.修改默认ssh端口并配置更复杂的密码,防止外部的全网扫描和暴力破解
4.这个问题咨询过阿里的安全专家,他们给的答复是可能是利用Consul RCE漏洞传播的挖矿木马,但是我们的机器并没有consul相关的服务,最后他们推荐使用阿里云的安全产品WAF进行安全加固。
