Linux 服务器上有挖矿病毒处理【分析+解决】
<h1>Linux 服务器上有挖矿病毒处理</h1><h2>分析</h2>
<p><strong>今天遇到病毒挖矿,有点小兴奋。</strong></p>
<p><strong>来波分析:</strong></p>
<p><strong>看上面的症状是:攻击者通过docker入侵的【<span style="color: rgba(243, 59, 69, 1)">后面了解,可能是redis账号密码简单的原因被爆破的</span>】</strong></p>
<p><strong>最奇诡的事,攻击者可能通过提权,获取到root的权限。然后一些列的挖矿病毒</strong></p>
<p><strong>大致流程图</strong></p>
<p><img alt="" height="324" src="https://img-blog.csdnimg.cn/2020040115423125.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="648"></p>
<p><img alt="" height="472" src="https://img-blog.csdnimg.cn/20200401153640531.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="806"></p>
<h3>症状表现</h3>
<p><strong>服务器CPU资源使用一直处于100%的状态,通过 <code>top</code> 命令查看,发现可疑进程 </strong></p>
<h2><img alt="" height="559" src="https://img-blog.csdnimg.cn/20200401154407826.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="800"></h2>
<h2> </h2>
<h2>解决</h2>
<h3>排查方法</h3>
<p><strong><code>首先</code>:查看 bbb进程,使用 <code>ps -ef | grep bbb </code></strong></p>
<p><img alt="" height="212" src="https://img-blog.csdnimg.cn/20200401154526249.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="782"></p>
<blockquote>
<p><strong>PS: 通过 ps -ef 命令查出 bbb进程号,直接 kill -9 进程号并删除 /tmp/bbb执行文件。但没有过1分钟进程又运行了,这时就能想到,bbbb有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。</strong></p>
</blockquote>
<h3>定时任务</h3>
<p><strong>看来有猫腻,准备删除这些定时任务【<span style="color: rgba(243, 59, 69, 1)">但是无法删除</span>】</strong></p>
<p><img alt="" height="86" src="https://img-blog.csdnimg.cn/20200401154814957.png" width="892"></p>
<p><img alt="" height="154" src="https://img-blog.csdnimg.cn/20200401155049914.png" width="365"></p>
<p><span style="color: rgba(243, 59, 69, 1)"><strong>注意:无法删除,原因被chatter 上锁了</strong></span></p>
<p><strong>那我就开锁就行</strong></p>
<p><img alt="" height="240" src="https://img-blog.csdnimg.cn/20200401155117130.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="376"></p>
<h3><span style="color: rgba(243, 59, 69, 1)">重点</span></h3>
<p><u><strong>当你解开锁时时,但是你去删除这个文件,全是无法删除。再看看权限,又被锁住了。【<span style="color: rgba(243, 59, 69, 1)">攻击者你很骚气啊</span>】</strong></u></p>
<p>咦,我发现了邮件服务,每当我运行权限脚本时,都会发送一个邮件到/var/spool/mail/root</p>
<pre><code class="language-bash">You have new mail in /var/spool/mail/root提示</code></pre>
<p>看到这个,我有点起疑心了。</p>
<p><strong>怀疑</strong>:为啥我们平常的服务器上没有出现这个,但现在为啥会出现邮件。【<span style="color: rgba(243, 59, 69, 1)">突破点</span>】</p>
<p>我想想了,可能是通过mail的提示来检测我的服务器操作,从而重新执行脚本。</p>
<p>OK。那我就干掉你,看你怎么检测</p>
<h3>第一步:关闭提示</h3>
<pre><code class="language-bash">echo "unset MAILCHECK">> /etc/profile
source /etc/profile</code></pre>
<h3>第二步:查看</h3>
<pre><code class="language-bash">ls -lth /var/spool/mail/</code></pre>
<h3>第三步:清空</h3>
<pre><code class="language-bash">cat /dev/null > /var/spool/mail/root</code></pre>
<h2><span style="color: rgba(243, 59, 69, 1)">定时任务清空【完成】</span></h2>
<p><span style="color: rgba(124, 121, 229, 1)"><strong>让你们了解一下chatter锁。想深入可以百度了解看一下</strong></span></p>
<p><strong>lsattr</strong>可用来查看文件的属性:</p>
<pre><code class="language-bash">lsattr filename</code></pre>
<p>如果文件属性中有i与a,或者有其中的一个</p>
<p>可以使用<strong>chattr</strong>去掉这属性:</p>
<pre><code class="language-bash">chattr -ia filename</code></pre>
<p>这次来试试,OK了,文件清空。</p>
<p><img alt="" height="264" src="https://img-blog.csdnimg.cn/20200401155816202.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="578"></p>
<p> </p>
<h2>bbb程序删掉</h2>
<p><strong>top查看 </strong></p>
<p><img alt="" height="560" src="https://img-blog.csdnimg.cn/20200401155919235.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="834"></p>
<h3>分析运行路径</h3>
<p><img alt="" height="311" src="https://img-blog.csdnimg.cn/20200401160005732.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="819"></p>
<p><code>第三步</code>:kill 掉 bbb守护进程 <code>kill -9 25800</code>,最后删除 bbb执行程序 <code>rm -f /var/tmp/bbb</code>。</p>
<p>但是这个脚本也被chatter了,需要解锁才能删除。</p>
<p>解锁,删掉。</p>
<h2>curl程序删掉</h2>
<p>上面的病毒搞完了,但是还有curl后台程序运行。</p>
<p><img alt="" height="286" src="https://img-blog.csdnimg.cn/20200401160549250.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="880"></p>
<p>开机自启,是什么位置</p>
<p><img alt="" height="439" src="https://img-blog.csdnimg.cn/20200401160813126.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="1040"></p>
<p>删掉这些程序,重启一下</p>
<p><img alt="" height="575" src="https://img-blog.csdnimg.cn/20200401160920480.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hlaWFuXzk5,size_16,color_FFFFFF,t_70" width="796"></p>
<p><img alt="" height="187" src="https://img-blog.csdnimg.cn/20200401160926984.png" width="744"></p>
<p>服务器稳定运行,没有病毒程序。</p>
<h2>SSH秘钥删除</h2>
<p>攻击者可能在/root/.ssh/里面留他们的秘钥,所以我们要清理掉。重新生成秘钥。</p>
<p> </p>
<h2>后期防护</h2>
<ul><li>启用ssh公钥登陆,禁用密码登陆。</li>
<li>云主机:完善安全策略,入口流量,一般只开放 80 443 端口就行,出口流量默认可以不限制,如果有需要根据需求来限制。物理机:可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则。</li>
<li>本机不是直接需要对外提供服务,可以拒绝外网卡入口所有流量,通过 jumper 机器内网登陆业务机器。</li>
<li>公司有能力可以搭建安全扫描服务,定期检查机器上漏洞并修复。</li>
</ul><p> </p>
<p> </p>
</div>
<div id="MySignature" role="contentinfo">
人生得意须尽欢,莫使金樽空对月。 天生我材必有用,千金散尽还复来。<br><br>
来源:https://www.cnblogs.com/heian99/p/12865374.html
頁:
[1]