再一次被入侵之潛伏的挖礦病毒
今天是11月10號,正在忙著做雙十一凌晨流量衝擊的加固工作,登入xx伺服器的時候無意間發現CPU的使用率達到了70%,按常理分析,xx伺服器資源不會使用這麼高的,ps 排序一下程序資源使用,如下圖:
果然,有一個高負載的程序“-sh”,佔用CPU達到了599%, 據經驗分析,這絕逼又是一個病毒程式,一想到這整個人都興奮起來了,當即著手查一下;
-
查監控歷史
監控的閾值設定的90%,70%一直沒觸發報警 -
查程序監聽的埠:
netstat -anp|grep 28622
監聽的35426埠向外通訊 -
查連線地址
通過35426埠,與這個美國的IP通訊,埠80,肯定是網頁,用瀏覽器開啟瞜一眼
果然是個挖礦的網站,那這個程式就是挖礦病毒了,不多說了,準備清理。 -
查啟動方式
crontab -l
這裡有一條every moment計劃任務 -
查檔案路徑
檔案路徑在定時任務中就很明顯了
-
查日誌
通過日誌可以看出是幾個美國的IP,不斷嘗試登入,進行root密碼猜解,在10月29號爆破成功。 -
檢查到此為止,開始處理挖礦病毒
- 先限制遠端登入
以免處理程序時黑客再次登入直接破壞我的系統,
1) 禁用root遠端登入:修改/etc/ssh/sshd_config 修改PermitRootLogin yes 為 no ;
2) 新建普通使用者—加強普通使用者密碼複雜度—更改root使用者密碼複雜度;
3) 限制使用者登入密碼錯誤次數 /etc/pam.d/login 第一行新增auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
- 刪除計劃任務
刪除crontab中的計劃任務 - 殺程序
kill -9 28622 - 刪檔案
刪除計劃任務中指定的目錄 - 再檢查一下程序
沒有再出現高負載程序,暫時先收工。
總結:這次被入侵主要是遠端登入沒有做策略,被輕易破解root密碼;
當然該黑客把CPU的資源使用把握的恰到好處,使CPU資源一直穩定在70%的狀態挖礦,一般的挖礦病毒會完全佔用CPU資源,監控立刻就會報警,這次如果沒有全面顯示監控,根本不會察覺,將會一直潛伏著。。。
看來需要優化一下監控報警策略。