当前位置: 首页 > news >正文

Linux 遭入侵,挖矿进程被隐藏排查记录

news 来源:原创 2024/4/29 4:00:56

Linux 遭入侵,挖矿进程被隐藏排查记录

今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。

问题原因

多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程

定位过程

登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下

image

cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了

执行命令ps -aux --sort=-pcpu|head -10

嗯哼,藏得够深的,可还是被揪出来啦image

image

这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程,

这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件/tmp/.x,然后执行

注意:这个执行文件会修改服务器的一些配置,如dns,hosts,定时任务,创建可执行文件

查看dns

果然dns被修改了

image

查看定时任务

一般情况使用crontab -l是看不到的,需要查看/etc/crontab,

发现定时任务被加入了一条

/8 * * root /usr/lib/libiacpkmn.so.3

image

根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn.so.3,

排查中发现/etc/rc.d/init.d/,/usr/bin/存在可执行文件nfstruncate,

在rc0.d-rc6.d目录下都存在S01nfstruncate文件,可能是自启动文件

现在排查的很明朗了,接下来着手清理工作

1. 阻断挖矿程序链接外网服务(很重要)

在/etc/hosts里增加一条

127.0.0.1 g.upxmr.com

阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了)

2. 干掉可疑程序“ata”进程

[root@dtdream-common-prod-nginx-03 ~]# kill -9 70497

再次查看发现cpu使用率降下来了,挖矿程序也没启动了。

image

image

3. 删除定时任务及文件

根据上面定时任务截图,需要彻底删除该脚本文件 /usr/lib/libiacpkmn.so.3 。

执行

[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

结果显示删除文件没权限,很奇怪,使用

[root@dtdream-common-prod-nginx-03 ~]#lsattr /usr/lib/libiacpkmn.so.3

发现文件被锁住了,很好解决,解锁再删就行了。

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/lib/libiacpkmn.so.3[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

删除nfstruncate

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#chattr -i /etc/init.d/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /etc/init.d/nfstruncate

删除软连

[root@dtdream-common-prod-nginx-03 ~]# find / -name "S01nfs*"/etc/rc.d/rc1.d/S01nfstruncate/etc/rc.d/rc2.d/S01nfstruncate/etc/rc.d/rc4.d/S01nfstruncate/etc/rc.d/rc3.d/S01nfstruncate/etc/rc.d/rc6.d/S01nfstruncate/etc/rc.d/rc5.d/S01nfstruncate/etc/rc.d/rc0.d/S01nfstruncate[root@dtdream-common-prod-nginx-03 ~]#find / -name "S01nfs*"|xargs rm -f

操作完之后, 长时间观察CPU无再升高

结论:问题是初步解决了,但是根源还没找到,因为我们的服务都是部署在内网的,挖矿程序是从哪个入口侵入的还有待排查

这次分享希望对也中挖矿程序的同学, 提供一些排查思路

原文地址https://www.cnblogs.com/guigujun/p/10535024.html

相关文章:

  • 血淋淋的BUG:波音在软件开发上错在哪里?
  • Python安装常见问题(1):zipimport.ZipImportError: can't decompress data
  • 当今软件发展的现状非常适合 Cloud Native 环境
  • Leetcode PHP题解--D8 832. Flipping an Image
  • Aspx 网页跳转方法 摘要一个大佬的自用
  • 四、RabbitMQ3.7在CentOS7下的安装
  • SpringCloud SpringBoot mybatis分布式微服务云架构返回JSON格式
  • node.js学习笔记
  • leetCode笔记--(1)
  • 致学习java同学奔三的90后:蹦最嗨的深夜迪,喝着啤酒配枸杞。
  • Exchange 2010/2016服务器远程重启命令
  • JVM的类加载机制
  • 一分钟带你弄懂闭包
  • 自建Kubernetes的LoadBalancer类型服务方案-MetalLB
  • global.min.css 页面通用样式
  • [PHP内核探索]PHP中的哈希表
  • [deviceone开发]-do_Webview的基本示例
  • Android 控件背景颜色处理
  • axios 和 cookie 的那些事
  • Codepen 每日精选(2018-3-25)
  • egg(89)--egg之redis的发布和订阅
  • JavaScript实现分页效果
  • js面向对象
  • Map集合、散列表、红黑树介绍
  • MySQL-事务管理(基础)
  • Vue2.x学习三:事件处理生命周期钩子
  • 闭包--闭包之tab栏切换(四)
  • 开放才能进步!Angular和Wijmo一起走过的日子
  • 利用阿里云 OSS 搭建私有 Docker 仓库
  • 使用阿里云发布分布式网站,开发时候应该注意什么?
  • 责任链模式的两种实现
  • 正则表达式
  • 智能合约开发环境搭建及Hello World合约
  • 主流的CSS水平和垂直居中技术大全
  • 《天龙八部3D》Unity技术方案揭秘
  • puppet连载22:define用法
  • ​2020 年大前端技术趋势解读
  • #etcd#安装时出错
  • $分析了六十多年间100万字的政府工作报告,我看到了这样的变迁
  • (1)bark-ml
  • (C语言)共用体union的用法举例
  • (Redis使用系列) SpirngBoot中关于Redis的值的各种方式的存储与取出 三
  • (更新)A股上市公司华证ESG评级得分稳健性校验ESG得分年均值中位数(2009-2023年.12)
  • (转)德国人的记事本
  • . ./ bash dash source 这五种执行shell脚本方式 区别
  • .NET 8 中引入新的 IHostedLifecycleService 接口 实现定时任务
  • .net framework 4.0中如何 输出 form 的name属性。
  • .NET成年了,然后呢?
  • .php结尾的域名,【php】php正则截取url中域名后的内容
  • /var/spool/postfix/maildrop 下有大量文件
  • ??如何把JavaScript脚本中的参数传到java代码段中
  • @软考考生,这份软考高分攻略你须知道
  • [23] 4K4D: Real-Time 4D View Synthesis at 4K Resolution
  • [Android]Android P(9) WIFI学习笔记 - 扫描 (1)
  • [ASP.NET MVC]如何定制Numeric属性/字段验证消息