专栏首页程序员同行者Linux 遭入侵,挖矿进程被隐藏排查记录

Linux 遭入侵,挖矿进程被隐藏排查记录

今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。

问题原因


多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程

定位过程


登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下

cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了

执行命令ps -aux --sort=-pcpu|head -10

嗯哼,藏得够深的,可还是被揪出来啦

这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程,

这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件/tmp/.x,然后执行

注意:这个执行文件会修改服务器的一些配置,如dns,hosts,定时任务,创建可执行文件

查看dns

果然dns被修改了

查看定时任务

一般情况使用crontab -l是看不到的,需要查看/etc/crontab,

发现定时任务被加入了一条

0 /8 * * root /usr/lib/libiacpkmn.so.3

根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn.so.3,

排查中发现/etc/rc.d/init.d/,/usr/bin/存在可执行文件nfstruncate,

在rc0.d-rc6.d目录下都存在S01nfstruncate文件,可能是自启动文件

现在排查的很明朗了,接下来着手清理工作

1. 阻断挖矿程序链接外网服务(很重要)

在/etc/hosts里增加一条

127.0.0.1 g.upxmr.com

阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了)

2. 干掉可疑程序“ata”进程

[root@dtdream-common-prod-nginx-03 ~]# kill -9 70497

再次查看发现cpu使用率降下来了,挖矿程序也没启动了。

3. 删除定时任务及文件

根据上面定时任务截图,需要彻底删除该脚本文件 /usr/lib/libiacpkmn.so.3 。

执行

[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

结果显示删除文件没权限,很奇怪,使用

[root@dtdream-common-prod-nginx-03 ~]#lsattr /usr/lib/libiacpkmn.so.3

发现文件被锁住了,很好解决,解锁再删就行了。

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/lib/libiacpkmn.so.3[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

删除nfstruncate

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#chattr -i /etc/init.d/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /etc/init.d/nfstruncate

删除软连

[root@dtdream-common-prod-nginx-03 ~]# find / -name "S01nfs*"/etc/rc.d/rc1.d/S01nfstruncate/etc/rc.d/rc2.d/S01nfstruncate/etc/rc.d/rc4.d/S01nfstruncate/etc/rc.d/rc3.d/S01nfstruncate/etc/rc.d/rc6.d/S01nfstruncate/etc/rc.d/rc5.d/S01nfstruncate/etc/rc.d/rc0.d/S01nfstruncate[root@dtdream-common-prod-nginx-03 ~]#find / -name "S01nfs*"|xargs rm -f

操作完之后, 长时间观察CPU无再升高

结论:问题是初步解决了,但是根源还没找到,因为我们的服务都是部署在内网的,挖矿程序是从哪个入口侵入的还有待排查

这次分享希望对也中挖矿程序的同学, 提供一些排查思路

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Kubernetes集群搭建之企业级环境中基于Harbor搭建自己的私有仓库

    企业环境中使用Docker环境,一般出于安全考虑,业务使用的镜像一般不会从第三方公共仓库下载。那么就要引出今天的主题

    程序员同行者
  • client-go客户端自定义开发Kubernetes及源码分析

    client-go 是一种能够与 Kubernetes 集群通信的客户端,通过它可以对 Kubernetes 集群中各资源类型进行 CRUD 操作,它有三大 c...

    程序员同行者
  • Linux非root用户如何使用80端口启动程序

    程序员同行者
  • 【Go 语言社区】Golang语言操作redis连接池的方法

    func newPool(server, password string) *redis.Pool { return &redis.Pool{ ...

    李海彬
  • datagridview显示行号

    另一种也是在这个事件下面下面 用了个for循环来做index+1的单元格赋值,效率太慢了。

    跟着阿笨一起玩NET
  • QQGame防专线中断系统介绍

    QQGame是一个全区全服的休闲类游戏平台和社区,主逻辑服务器部署在四大IDC,核心DB全部在深圳。对跨IDC的专线依赖度很高。

    马同星
  • 51Nod-1829-函数

    ACM模版 描述 ? 题解 image.png 代码 #include <iostream> using namespace std; typedef lo...

    f_zyj
  • CodeForces 651 C Watchmen

    C. Watchmen time limit per test 3 seconds memory limit per test 256 megaby...

    ShenduCC
  • Python判断两个单词的相似度

    本文要点在于算法的设计:如果两个单词中不相同的字母足够少,并且随机选择几个字母在两个单词中具有相同的前后顺序,则认为两个单词是等价的。 目前存在的问题:可能会有...

    Python小屋屋主
  • SSH框架之旅-spring(2)

    Spring 创建对象可以使用配置 xml 文件的方式,也可以使用注解来创建对象,更加的简单。这就需要另外引入一个 spring-aop 的 jar 包,还要在...

    Wizey

扫码关注云+社区

领取腾讯云代金券