前言
一段时间没有上来看过了,前两天上来发现页面加载速度变慢了很多,查看cpu占用发现几乎是100%,再用top去查看,发现有好几个名叫kworkerds的进程,百度了一下才发现原来这是个恶意挖矿病毒,感染上后会给你的主机添加一个定时任务,不断去远程获取脚本然后执行,后来百度了一番在这里记录下解决步骤。
排查步骤
top查看进程信息,发现有几个名为kworkerds的进程,即为挖矿进程
使用crontab -l
命令查看系统定时任务,发现了它的定时任务
pastebin是任意上传分享的平台,攻击者借此实现匿名,于是访问https://pastebin.com/raw/1NtRkBc3,想看看脚本是什么样的,可是好像被删掉了,有点小遗憾。
解决
进入/var/spool/cron
将对应的定时任务删除,我这个是被放在root用户里面启动的,所以直接删掉root即可
删除root的时候发现不能直接删除
使用lsattr -a
查看文件属性,这个i表示该属性的文件不能被任意操作
使用chattr -i root
修改root文件属性,再次查看发现没有了i
这时再用rm -rf
就可以删除了,删除定时文件后,还需要把当前的进程一并kill掉
使用kill -9
后面加进程号(图1里面的PID)即可
入侵原因
redis没有设置密码,并且开放任意ip可以通过6379接口登录,这也提醒我们类似这样的远程连接需要自定义相关密码,端口开发需要谨慎。