记录一次阿里云服务器挖矿入侵的清除过程

时间:2021-10-29 来源:未知网络 作者:996建站网

最近有几台服务器老是收到阿里云安全告警,大体情况如下:

记录一次阿里云服务器挖矿入侵的清除过程插图

从阿里云后台查看服务器的各项指标就发现CPU明显偏高,其他的指标都正常:

记录一次阿里云服务器挖矿入侵的清除过程插图

但是从业务的角度分析就一个tomcat,也没啥大的程序在运行,不至于这么高的CPU使用率。登录服务器使用top命令也没发现异常进程:

记录一次阿里云服务器挖矿入侵的清除过程插图

在网上搜了一圈发现都是在说:是挖矿程序隐藏在某个进程下面,系统定时任务有被改动过之类的。既然top无法发现那么就换一个PS命令试试:ps -aux –sort=-pcpu|head -10

记录一次阿里云服务器挖矿入侵的清除过程插图1

发现CPU使用率最高的是一个kacpi_hotplug的进程,STAT还是Ssl:处于睡眠状态的、包含子进程的多线程克隆线程。真扯淡啊。先kill掉看看服务器的反应,执行:kill -9 1218 :

记录一次阿里云服务器挖矿入侵的清除过程插图1

这就是个坑啊!

观察一段时间后发现CPU先是明显下降维持了大约30分钟后,又升回来了,再次检查进程:

记录一次阿里云服务器挖矿入侵的清除过程插图1

发现换了个名字又启动了一个进程。这肯定和定时任务有关系。

我先检查了一下我的定时任务,使用:crontab -l 得到的是:no crontab for root 。不太科学,继续检查定时任务文件:

记录一次阿里云服务器挖矿入侵的清除过程插图1

发现有问题。最好使用命令:tail -f /var/log/cron 检查一下定时任务启动日志。那么剩下的问题就是怎么解决呢?以下是个人解决思路,还有待观察:

第一步,还是把进程kill掉。

第二步,把定时任务文件中的定时任务全部清理掉:

记录一次阿里云服务器挖矿入侵的清除过程插图1

保险起见,还是要进到每个cron中查看一下是否有特殊文件存在:

记录一次阿里云服务器挖矿入侵的清除过程插图1

第三步,干掉/usr/lib/libiacpkmn.so.3 文件。

记录一次阿里云服务器挖矿入侵的清除过程插图1

rm -f 发现还无法删除,发现加了锁,先去掉i:

记录一次阿里云服务器挖矿入侵的清除过程插图1

根据网上提供的病毒库分析,发现这种病毒是在/etc/init.d/目录下面放有一个启动文件:nfstruncate 。可以查找一下全部删除;

记录一次阿里云服务器挖矿入侵的清除过程插图1

找到的地方全部删除:

记录一次阿里云服务器挖矿入侵的清除过程插图1

另外还需要检查一下:find / -name "S01nfstruncate" 这个S01开头的或者用通配符搜索一下

记录一次阿里云服务器挖矿入侵的清除过程插图1

按照上面的方法继续清理rc0.d-rc6.d文件中的S01nfstruncate文件。

到这里主要的文件已经被干掉了。后面还有待观察。

附录:

  • libiacpkmn.so.3挖矿病毒库分析:libiacpkmn.so.3挖矿病毒 – CSDN博客
  • libiacpkmn.so.3挖矿病毒库分析一款新型的Linux挖矿木马来袭 – FreeBuf互联网安全新媒体平台

记录一次阿里云服务器挖矿入侵的清除过程插图2

微信扫一扫 关注公众号

微信扫一扫 使用小程序

百度扫一扫 使用小程序