1、现象
某台测试环境主机,root口令简单,某天被发现某进程(进程名为乱码,类似:wswdkfreuo,查看进程执行的命令为常用系统命令,如who、ls、top、route -n等)极耗CPU,杀掉后分分钟再次出现,进程名变更成其他乱码。
2、排查
查看进程相关文件:lsof -p 8054
该进程通过TCP与远程主机连接。
查看相关命令为最近创建:ls -lrt /user/bin/
检查crontab,发现多出一条记录:cat /etc/crontab
查看gcc.sh
像这种头部没注释(一般系统文件都会带有较长的注释,还有License之类的),创建时间又不长的文件,极大概率就是病毒。然后可以看见,这个文件将 libudev.so 不断复制,这么来看,病原体主要就是这个文件。
3、处置
1)修改root口令为强口令
2)注释掉crontab相关记录
3)删除gcc.sh
4)检查/etc/init.d目录,/etc/rc#.d/目录下的所有文件,通过创建日期和进程名判断该启动项是否为病毒,删除之。也可以通过内容查看是否为病毒,一般病毒文件里面内容短小,并且写法一样,如下图:
/etc/init.d目录
/etc/rc0.d/、/etc/rc1.d/
5)删除/usr/bin下程序文件,一般启动文件都是当天创建的,把/bin目录下的当天创建的启动项删掉就好;
查找最近一天的文件:find dir -mtime -1
6)重启服务器,到这里按道理一开始病毒没有通过守护进程开机启动的话,就不会再启动了,这时候再把libudev.so删掉,就没有问题了。
这里也可以不用重启服务器,在删除gcc.sh的前提下,一并执行下列命令:
rm -f libudev.so ;chattr +i /lib;kill -9 34279 最后这个进程id为挖矿进程id
执行完后,再次检查上述3-5步操作;
完了别忘记解除对lib目录的限制:chattr -i /lib
保险起见,最好再重启下看看。
4、不当处置
删除gcc.sh后直接杀掉挖矿进程:将启动新的挖矿进程,并重新生成gcc.sh;
删除gcc.sh后直接删除libudev.so:将重新生成libudev.so,挖矿进程应该在监控该文件
别指望同时执行删除libudev.so和杀进程能搞定,我已经试过了,不行。
参考:https://blog.csdn.net/yinanmo5569/article/details/79940788