文章目录
一、中毒症状
1.1 异地ip登录
多以国外的为主
1.2 kinsing守护进程
1.3 kdevtmpfsi文件
1.4 发现过程
接收到云平台的异常登录警告时,我就立马上线把服务器密码修改了,起初,我分析认为是因为我之前用root开redis导致别人在我的服务器上留了个后门(现在回溯看来,原因的确如此),查看了对方的登录ip,ping过去发现也是一台服务器,还开着apache服务,于是我写了个脚本,在请求头写满骂人的话,开个代理池,疯狂给这个黑我服务器的人get过去…
改密码后几天,对方黑客也没对我动手了。我以为事情可能就这样结束了,反正我服务器也没啥东西。可没想到几天后,他又来了…这让我警觉起来。
对方肯定是留有守护进程的,并且是开机自启动、定时任务的那种,如果不一次性弄干净,对方就能不断侵入我的服务器。岂可修!
最终,了解到这是个挟持计算机去帮助别人挖矿的病毒,它的目的主要是借用你的计算资源,恶意性不大,但是会占用大量内存,甚至让服务器卡到宕机。
二、处理方法
2.1 清理异常定时任务
先把这个删干净了,不然对方能不断通过这个任务来向服务器里执行脚本,开后门。
查看定时任务
crontab -l
crontab -r
表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除
crontab -e
打开crontab执行命令
cat /etc/crontab
检查crontab文件
在终端输入service crond stop可以停止crontab定时任务执行
2.2 kill掉kinsing和kdevtmpfsi进程
ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi
sudo kill -9 对应进程号
2.3 删除kinsing、kdevtmpfsi文件
sudo rm /tmp/kdevtmpfsi
sudo rm /var/tmp/kinsing/
2.4 删除涉及到的普通用户
这次,对方是使用了es这个普通用户登录我的服务器的,并且注意到用户文件夹里也有可疑文件的存在,最好删干净,以除后患。
sudo userdel -r username
加上-r可以删除/home/路径下的用户文件夹,否则不能
2.5 修改root密码
保险起见,最好改一下root密码,并重启
2.6 重启后再检查
查看定时任务
crontab -l
ps -aux|grep kinsing
ps -aux|grep kdevtmpfsi
查看主要占内存的进程
top
查看有哪些net连接
netstat -antp
至此,应该把这个木马病毒清干净了,通俗来说就是别人利用漏洞在你服务器上开了个后门,让你的服务器变成了他的肉鸡。至于是否真的真的删干净了呢,我也不确定,万一它又隐藏了什么触发脚本之类的东西呢?
接下来一段时间内,要是云平台没给你提示异常登陆行为的话,那应该没什么问题了,如果再次出现,可能还是重装一下服务器好点吧,反正服务器也没什么重要文件…实属无奈
三、预防方法
3.1 使用普通用户开启服务
通过这次中毒经历,我深刻意识到了使用root开服务开端口的恶劣后果,今后使用redis、es等应用时,必须新建普通用户,再切换到普通用户来启动之。
3.2 密码越复杂越好
无论是服务器登录密码,还是数据库等应用服务的验证密码,都最好弄复杂一些,并且注意好权限管理,以防被爆破出来。
3.3 尤其尤其注意redis的设置
必须给redis加密码,越复杂越好,同时注意配置文件中,一些本地存储文件化的选项。这里已经有很多人掉进坑里了,redis真的是一个很容易受攻击的点,这篇文章值得我们深入学习:Redis漏洞,远程攻击