同時發(fā)布:https://notes.daiyuhe.com/clear-linux-mining-virus/
起因
閑來無事準(zhǔn)備用服務(wù)器搭建個環(huán)境玩玩萨脑,連上服務(wù)器之后發(fā)現(xiàn)命令行卡的飛起综苔,使用top看看cpu占用率,這里上前三截圖岛琼。
cpu
sysupdate 系統(tǒng)更新??
networkservice 網(wǎng)絡(luò)服務(wù)惕澎??颜骤?
上阿里云管理控制臺看看CPU占用率唧喉,占用率直接100%,再看看CPU以及內(nèi)存的記錄忍抽,已經(jīng)被占領(lǐng)兩三天了八孝,阿里云也沒有告警。
cpu_used
清除的過程
使用top已經(jīng)知道了進程號鸠项,接下來看看位置干跛,命令ls -l proc/{進程號}/exe
pid
sysupdate、networkservice都在/etc/目錄下
到etc下祟绊,除了sysupdate楼入、networkservice 同時還有sysguard、update.sh牧抽,除了update.sh其余的都是二進制文件嘉熊,應(yīng)該就是挖礦的主程序以及守護程序了。
找到了源頭update.sh扬舒,接下來分析下這個腳本阐肤。
。。孕惜。
愧薛。。诊赊。
恩厚满。。碧磅。我們有時間再寫分析過程碘箍,這里先直接給出解決方案。
- 刪除定時任務(wù)
rm /var/spool/cron/root 或crontab -r - 殺掉進程 刪除文件
首先殺進程鲸郊,kill -9 {進程號}丰榴,然后刪除文件
直接刪除sysupdate你會發(fā)現(xiàn)無法刪除,因為一般病毒會使用chattr +i命令秆撮,我們使用chattr -i sysupdate四濒,然后再 rm -f sysupdate 即可正常刪除。
同理刪除networkservice职辨、sysguard盗蟆、update.sh、config.json舒裤。 - /root/.ssh/authorized_keys 刪除或修復(fù)
如果你被攻破的是root用戶(或者被攻破的用戶權(quán)限較大),你可能還需要
- 修復(fù)SELinux
病毒腳本首先就會嘗試關(guān)閉SELinux子系統(tǒng)喳资,我們可以使用getenforce命令查看SELinux狀態(tài)。
如果你想要重新打開腾供,可以修改/etc/selinux/config文件將SELINUX=disabled改為SELINUX=enforcing仆邓,然后重新啟動服務(wù)器。 - wget命令和curl命令會被改為wge和cur伴鳖,這樣用著很變扭节值,改回來
mv /bin/wge /bin/wget mv /bin/cur /bin/curl mv /usr/bin/wge /usr/bin/wget mv /usr/bin/cur /usr/bin/curl - 恢復(fù)防火墻配置
這里給出病毒腳本修改的iptables配置的語句,方便讀者修復(fù)
如果你的iptables策略確定被清除并且修改了榜聂,那直接清空并重新配置即可搞疗。iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload
