前言
一段時間沒有上來看過了,前兩天上來發現頁面加載速度變慢了很多,查看cpu佔用發現幾乎是100%,再用top去查看,發現有好幾個名叫kworkerds的進程,百度了一下才發現原來這是個惡意挖礦病毒,感染上後會給你的主機添加一個定時任務,不斷去遠程獲取腳本然後執行,後來百度了一番在這裏記錄下解決步驟。
排查步驟
top查看進程信息,發現有幾個名爲kworkerds的進程,即爲挖礦進程
使用crontab -l命令查看系統定時任務,發現了它的定時任務
pastebin是任意上傳分享的平臺,攻擊者藉此實現匿名,於是訪問https://pastebin.com/raw/1NtRkBc3,想看看腳本是什麼樣的,可是好像被刪掉了,有點小遺憾。
解決
進入/var/spool/cron將對應的定時任務刪除,我這個是被放在root用戶裏面啓動的,所以直接刪掉root即可
刪除root的時候發現不能直接刪除
使用lsattr -a查看文件屬性,這個i表示該屬性的文件不能被任意操作
使用chattr -i root修改root文件屬性,再次查看發現沒有了i
這時再用rm -rf就可以刪除了,刪除定時文件後,還需要把當前的進程一併kill掉
使用kill -9後面加進程號(圖1裏面的PID)即可
入侵原因
redis沒有設置密碼,並且開放任意ip可以通過6379接口登錄,這也提醒我們類似這樣的遠程連接需要自定義相關密碼,端口開發需要謹慎。