事情是這樣的,我今天早上醒來手機上收到了來自騰訊雲的通知,說我服務器中木馬,於是我來到騰訊雲控制檯查看了一下,發現了5個病毒文件。
我的第一反應便是中挖礦病毒了,於是我順便查看了一下服務器監控情況。果不其然,CPU直接跑滿了。
於是我趕緊登陸了服務器,top
一下了解一下具體情況。
原來是這個名爲kswapd0的程序登陸了我創建的zookeeper用戶在瘋狂的跑着我服務器的CPU。
於是我便上網搜了一下kswapd0,經過查證,這玩意是一個perl腳本,通過SSH爆破攻擊目標系統,同時傳播基於Perl的Shellbot和門羅幣挖礦木馬。
結果我便想到了,我本來用來玩轉zookeeper而創建的zookeeper用戶,賬號密碼都是zookeeper,而zookeeper客戶端開啓默認端口2181我也未進行修改。
我嘗試登陸zookeeper用戶,結果發現密碼竟然不正確。好傢伙,竟然還修改了我密碼,於是我便通過root用戶使用passwd
命令重置了一下該用戶密碼。
接着,我使用netstat -anltp|grep kswapd0
命令查看了一下kswapd0進程的對外端口,IP竟然來自荷蘭。
因爲我zookeeper服務端是一直開着的,也不難想象爲什麼會中病毒了。
病毒處理
- 殺死進程:
- 刪除騰訊雲控制檯顯示的木馬程序所在的文件夾
- 將木馬文件進一步隔離
可以看到,CPU的使用率已經變得正常了。
總結
- 服務器不要使用弱密碼連接;
- 不要輕易開放服務器端口。