大綱
一 簡單介紹 aliyun.one 病毒
二 病毒刪除的策略
三 總結
一 病毒現象
現象:服務器現象 是cpu爆高.但是從top itop等看不出系統哪有問題.
top
查看crontab 發現種了木馬 通過redis植入(沒設置密碼)
hosts crontab等 都被修改的一塌糊塗.嘗試修改crontab 任務,還沒有修改完 就被覆蓋了。無法清空crontab。到處都有這個腳本的影子,應該無時無刻在更新腳本 同步腳本吧。
就算僥倖註釋掉 過一會還是會被覆蓋成新的
病毒木馬如下 :
在肉雞裏面執行crontab,這樣的話如果用戶裏存在信任的主機,並且有密匙的話,這樣就連信任的主機也會變成肉雞了。
雖然現在看上去他只是定時去拉取了腳本,但是當他準備發動攻擊,修改了腳本內容以後性質就不同了。
因爲是root賬號中毒 沒法刪除root賬號,不能剷掉機子。
二 病毒刪除辦法
首先要 通過 top 命令能看到病毒進程
1 刪除了wget和curl 讓病毒 不再同步到 服務器。
2 需要 清空 /etc/ld.so.preload 文件,然後 執行 ldconfig 命令。
3 執行 top 命令
4 發現有兩個進程 一個 scsi_eahc_1s cup 爆滿,和 9432671f5d kill 掉。
5 find / -name 9432671f5d 找到 相關的文件 全部清除 。
6 find .|xargs grep -ri "aliyun.one"
全部幹掉。
crontab -r 並且 刪除 已發現的job 等等,包括 hosts 中 非法域名鏈接都幹掉。
三 總結
通過這次感染病毒後的經歷,感覺安全很重要。
具體措施如下 :
1 修改redis 等 默認端開爲非常用端開。
2 設置redis 登陸密碼 不能不設置或者 使用簡單的密碼。
3 修改其它 使用默認的簡單的端開。
參考文獻
https://blog.csdn.net/xujiamin0022016/article/details/103319879
https://www.v2ex.com/amp/t/626230/2
https://blog.csdn.net/simplemurrina/article/details/103682389
