首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >linux实战清理挖矿病毒kthreaddi

linux实战清理挖矿病毒kthreaddi

原创
作者头像
入门笔记
发布2022-07-04 17:34:42
2.2K0
发布2022-07-04 17:34:42
举报
文章被收录于专栏:入门小站入门小站

故事背景

最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。

安装busybox

系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。

> busybox top
image-20210629223207356
image-20210629223207356

终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。

清理门罗币挖矿木马

常规方式先试试kill -9 6282 过一会又起来了,说明有守护进程

检查系统中的定时任务
> crontab -l
0 * * * * /tmp/sXsdc

发现一个这,一看就不是什么好东西,直接清理crontab,crontab -e dd :wq!一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。

去内核数据目录找找看
> ls -al ll  /proc/6282 

6282是刚才那个挖矿进程

image-20210629224536853
image-20210629224536853

原来在 tmp下面有文章 ,但是被 deleted,不管先去看看

> /tmp/.dHyUxCd/
> ls -al
image-20210629225014529
image-20210629225014529

config.json 里面都是一些配置,里面找到一个美国的IP

image-20210629225502368
image-20210629225502368

清理病毒

  • 删除/tmp/.dHyUxCd/目录
  • kill -9 挖矿进程pid
  • reboot重启

总结

本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。先把docker停掉(后面抽空Docker启用TLS进行安全配置),redis密码强度加高一点。

原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 故事背景
  • 安装busybox
  • 清理门罗币挖矿木马
    • 检查系统中的定时任务
      • 去内核数据目录找找看
      • 清理病毒
      • 总结
      相关产品与服务
      容器服务
      腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档