文章目錄
一、中毒症狀
1.1 異地ip登錄
多以國外的爲主
1.2 kinsing守護進程
1.3 kdevtmpfsi文件
1.4 發現過程
接收到雲平臺的異常登錄警告時,我就立馬上線把服務器密碼修改了,起初,我分析認爲是因爲我之前用root開redis導致別人在我的服務器上留了個後門(現在回溯看來,原因的確如此),查看了對方的登錄ip,ping過去發現也是一臺服務器,還開着apache服務,於是我寫了個腳本,在請求頭寫滿罵人的話,開個代理池,瘋狂給這個黑我服務器的人get過去…
改密碼後幾天,對方黑客也沒對我動手了。我以爲事情可能就這樣結束了,反正我服務器也沒啥東西。可沒想到幾天後,他又來了…這讓我警覺起來。
對方肯定是留有守護進程的,並且是開機自啓動、定時任務的那種,如果不一次性弄乾淨,對方就能不斷侵入我的服務器。豈可修!
最終,瞭解到這是個挾持計算機去幫助別人挖礦的病毒,它的目的主要是借用你的計算資源,惡意性不大,但是會佔用大量內存,甚至讓服務器卡到宕機。
二、處理方法
2.1 清理異常定時任務
先把這個刪乾淨了,不然對方能不斷通過這個任務來向服務器裏執行腳本,開後門。
查看定時任務
crontab -l
crontab -r
表示刪除用戶的定時任務,當執行此命令後,所有用戶下面的定時任務會被刪除
crontab -e
打開crontab執行命令
cat /etc/crontab
檢查crontab文件
在終端輸入service crond stop可以停止crontab定時任務執行
2.2 kill掉kinsing和kdevtmpfsi進程
ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi
sudo kill -9 對應進程號
2.3 刪除kinsing、kdevtmpfsi文件
sudo rm /tmp/kdevtmpfsi
sudo rm /var/tmp/kinsing/
2.4 刪除涉及到的普通用戶
這次,對方是使用了es這個普通用戶登錄我的服務器的,並且注意到用戶文件夾裏也有可疑文件的存在,最好刪乾淨,以除後患。
sudo userdel -r username
加上-r可以刪除/home/路徑下的用戶文件夾,否則不能
2.5 修改root密碼
保險起見,最好改一下root密碼,並重啓
2.6 重啓後再檢查
查看定時任務
crontab -l
ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi
查看主要佔內存的進程
top
查看有哪些net連接
netstat -antp
至此,應該把這個木馬病毒清乾淨了,通俗來說就是別人利用漏洞在你服務器上開了個後門,讓你的服務器變成了他的肉雞。至於是否真的真的刪乾淨了呢,我也不確定,萬一它又隱藏了什麼觸發腳本之類的東西呢?
接下來一段時間內,要是雲平臺沒給你提示異常登陸行爲的話,那應該沒什麼問題了,如果再次出現,可能還是重裝一下服務器好點吧,反正服務器也沒什麼重要文件…實屬無奈
三、預防方法
3.1 使用普通用戶開啓服務
通過這次中毒經歷,我深刻意識到了使用root開服務開端口的惡劣後果,今後使用redis、es等應用時,必須新建普通用戶,再切換到普通用戶來啓動之。
3.2 密碼越複雜越好
無論是服務器登錄密碼,還是數據庫等應用服務的驗證密碼,都最好弄複雜一些,並且注意好權限管理,以防被爆破出來。
3.3 尤其尤其注意redis的設置
必須給redis加密碼,越複雜越好,同時注意配置文件中,一些本地存儲文件化的選項。這裏已經有很多人掉進坑裏了,redis真的是一個很容易受攻擊的點,這篇文章值得我們深入學習:Redis漏洞,遠程攻擊