2. 程式人生 > >【踩坑】阿里雲ECS清除隱藏的挖礦程式

【踩坑】阿里雲ECS清除隱藏的挖礦程式

阿新 發佈:2018-12-24

問題描述:

一臺阿里雲伺服器,收到連續告警CPU使用量已經大於95%。但這臺機器上面使用中的業務只有一個不常使用的MySQL,其他就沒有了,正常情況下CPU是不可能達到這麼高的。檢視告警資訊,發現有被植入挖礦程式,可疑程式檔案路徑為 /usr/lib/libiacpkmn.so.3

排查過程:

1、top檢視,找佔CPU高的程序:
阿里雲機器清除隱藏的挖礦程式

通過按照CPU佔比降序檢視,除了少數幾個程序佔CPU,並沒有發現可疑程式
阿里雲機器清除隱藏的挖礦程式
佔用CPU高的挖礦程式應該是隱藏在某個地方了,

2、使用命令ps -aux --sort=-pcpu|head -10查詢,果然找到了這個程式:

[[email protected]
 
 ~]# ps -aux --sort=-pcpu|head -10
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root     14454  179  0.0   6780   740 ?        Ssl  08:00 708:24 [xfsdatad]

阿里雲機器清除隱藏的挖礦程式

解決過程:

1、首先殺掉上面這個佔CPU高的xfsdatad程序:

[[email protected] ~]# kill -9 14454

再使用top檢視CPU,馬上就降下來了:
阿里雲機器清除隱藏的挖礦程式

2、清理定時任務
挖礦程式一般都設定了定時任務啟動指令碼程式,檢視定時任務,crontab -l檢視是找不到的。得看/etc/crontab檔案。果然有任務在啟動程式指令碼 /usr/lib/libiacpkmn.so.3

[[email protected] bin]# cat /etc/crontab 
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/
# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
0/8 00 * * * /bin/bash  /usr/lib/libiacpkmn.so.3  >/dev/null 2>&1
[
 
[email protected] bin]#

刪除掉定時任務,防止再次啟動指令碼

3、刪除指令碼檔案/usr/lib/libiacpkmn.so.3
根據定時任務中暴露的可疑檔案所在路徑/usr/lib/libiacpkmn.so.3,徹底刪除該指令碼檔案 rm -f /usr/lib/libiacpkmn.so.3 。
結果顯示檔案是被加了鎖的,使用root使用者去刪除、mv、chmo/chown改許可權,或者清空檔案,任何操作都會報Permission denied(沒許可權):

[[email protected] lib]# cd /usr/lib
[[email protected] lib]# rm -rf libiacpkmn.so.3 
rm: cannot remove ‘libiacpkmn.so.3’: Operation not permitted
[[email protected] lib]# >libiacpkmn.so.3 
-bash: libiacpkmn.so.3: Permission denied

因此需要確認檔案是否枷鎖,lsattr命令檢視,發現有一個 i 許可權:
lsattr 命令介紹
發現 I 許可權如下:
不能被刪除、改名、設定連結、寫入或新增資料;

[[email protected] lib]# lsattr libiacpkmn.so.3
----i--------e-- libiacpkmn.so.3

使用命令撤銷i許可權:

[[email protected] lib]# chattr -i libiacpkmn.so.3

注意:如果不能使用chattr命令,就使用yum -y install e2fsprogs命令安裝即可。

然後再檢查檔案許可權,就沒有i許可權了。再刪除檔案成功:

[[email protected] lib]# lsattr libiacpkmn.so.3
-------------e-- libiacpkmn.so.3
[[email protected] lib]# rm -f libiacpkmn.so.3
[[email protected] lib]# 
[[email protected] ~]# find / -name "libiacpkmn.so.3"      #查詢檔案,確認已經刪除OK
[[email protected] ~]#

4、同樣的方法刪除殘留檔案nfstruncate
查詢挖礦程式根源所在地 已知 PID 14454。同時根據 ps -anx查詢到的埠號查詢埠14454,
cd /proc/14454
ls -a 查詢到/etc/ 目錄存在啟動檔案nfstruncate 
exe -> /etc/rc.d/init.d/nfstruncate #這個nfstruncate 檔案,也需要刪除

[[email protected] lib]# find  / -name "nfstruncate"     #查找出來這個檔案有兩個,都刪除
/etc/rc.d/init.d/nfstruncate
/usr/bin/nfstruncate
[[email protected] lib]#  cd /etc/rc.d/init.d/
[[email protected] init.d]# chattr -i nfstruncate 
[[email protected] init.d]# rm -rf nfstruncate 
[[email protected] bin]# 
[[email protected] init.d]# cd /usr/bin/
[[email protected] bin]# chattr -i nfstruncate 
[[email protected] bin]# rm -rf nfstruncate 
[[email protected] bin]# 
[[email protected] ~]# find / -name "nfstruncate"   #查詢檔案,確認已經刪除OK
[[email protected] bin]#

補記:
在後面的一次防毒中,/proc/pid/目錄下面的exe指向的是另一個檔案:

exe -> /usr/lib/libiacpkmn.so.3 (deleted)

但是/etc/rc.d/init.d/目錄和/usr/bin/下面也都存在nfstruncate檔案。因此不僅要刪除 /usr/lib/libiacpkmn.so.3,也要刪除/etc/rc.d/init.d/nfstruncate和/usr/bin/nfstruncate。三個檔案都得清理乾淨。

5、清除/etc/rc*.d/目錄下的S01nfstruncate檔案連結,在rc0.d-rc6.d目錄下都存在S01nfstruncate檔案,全部刪除。
檢視/etc/rc0.d目錄下的檔案連結S01nfstruncate:

[[email protected] rc0.d]# ll
total 0
lrwxrwxrwx 1 root root 20 May  3  2016 K01agentwatch -> ../init.d/agentwatch
lrwxrwxrwx 1 root root 15 Mar 27  2017 K15nginx -> ../init.d/nginx
lrwxrwxrwx 1 root root 19 Mar 27  2017 K25uwsgi9090 -> ../init.d/uwsgi9090
lrwxrwxrwx 1 root root 15 May  3  2016 K50aegis -> ../init.d/aegis
lrwxrwxrwx 1 root root 20 May  3  2016 K50netconsole -> ../init.d/netconsole
lrwxrwxrwx 1 root root 22 Jun 21  2017 K80cloudmonitor -> ../init.d/cloudmonitor
lrwxrwxrwx 1 root root 17 May  3  2016 K90network -> ../init.d/network
lrwxrwxrwx 1 root root 23 Oct 19 08:00 S01nfstruncate -> /etc/init.d/nfstruncate    #需要刪除

找到所有的檔案連結刪除:

[[email protected] rc0.d]# find / -name "S01nfs*"
/etc/rc.d/rc1.d/S01nfstruncate
/etc/rc.d/rc2.d/S01nfstruncate
/etc/rc.d/rc4.d/S01nfstruncate
/etc/rc.d/rc3.d/S01nfstruncate
/etc/rc.d/rc6.d/S01nfstruncate
/etc/rc.d/rc5.d/S01nfstruncate
/etc/rc.d/rc0.d/S01nfstruncate
find: ‘/proc/4796’: No such file or directory
find: ‘/proc/5488’: No such file or directory
[[email protected] rc0.d]# 
[[email protected] rc0.d]# find / -name "S01nfs*"|xargs rm -f

6、再top觀察CPU,確認不再無故飆高,防毒任務就完成了。

以上內容,轉載地址:http://blog.51cto.com/10950710/2123114

 

------------------------------------------------------

------------------------------------------------------

關於我,前往個人域名

期望和大家一起學習,共同進步,共勉

歡迎交流問題,可加個人QQ 469580884

或者,加我的群號 751925591,一起探討交流問題

不講虛的,只做實幹家

Talk is cheap,show me the code

相關推薦

阿里ECS清除隱藏程式

問題描述: 一臺阿里雲伺服器,收到連續告警CPU使用量已經大於95%。但這臺機器上面使用中的業務只有一個不常使用的MySQL,其他就沒有了,正常情況下CPU是不可能達到這麼高的。檢視告警資訊,發現有被植入挖礦程式,可疑程式檔案路徑為 /usr/lib/libiacpkmn.so.3 排查過程

阿里提示伺服器有程式 該如何處理

臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,

Linux阿里ECS提示RHSA-2017:3263: curl security update(CentOS 7 更新 curl 為最新版本)

1、前言   由於 CentOS 7 內建的 curl 和 libcurl 源為較舊的 7.29.0,不支援一些新特性且有安全性問題,所以需要更新一下。 2、開始   1、更新ca-bundle     · 首先備份一下        cp /etc/pki/tls/certs/ca-bu

360安全瀏覽器“極速模式”和“兼容模式”,套路還是bug?

html 一個 另一個 地址 不生效 bug rom 論壇 val 分享踩坑點: 項目中需要兼容360安全瀏覽器,大家當然都希望用極速模式打開網站,但是發現總是被兼容模式打開 網址類似 aa.xx.dd.com 網上找了很多地方,有以下兩種方法 1.<m

angularJS 1.X版本中 ng-bind 指令多空格展示

ext 數據庫查詢 sci 接收 可能 color 最終 數據 目的 做項目的時候遇到的問題 1、問題描述   用戶在表單某個值輸入多個空格,例如:A B,保存至服務器   在列表查詢頁面中使用bg-bind的指令單向綁定,結果展示位A B,連續的空格被替換

ELK6.0已取消filebeat配置document_type

document_type elk logstash filebeat 一、起因 ?在使用ELK5.5的時候,如果遇到需要在同一臺機器上收集不同類型的日誌,比如:同時收集一臺機器上的java log和nginx log!而又需要分別存儲到不同索引的時候,我們會在filebeat的prospec

技術乾貨阿里構建千萬級別架構演變之路

本文作者:喬銳傑,現擔任上海駐雲資訊科技有限公司運維總監/架構師。曾任職過黑客講師、java軟體工程師/網站架構師、高階運維、阿里雲架構師等職位。維護過上千臺伺服器,主導過眾安保險、新華社等千萬級上雲架構。在雲端運維、分散式叢集架構等方面有著豐富的經驗。 前言    

域名解析阿里域名+伺服器+tomcat實現多域名單IP多應用的解析全流程

環境說明 域名是在阿里雲上報備的 伺服器是阿里雲的資源,提供了一個對外IP 伺服器作業系統是windows 容器是tomcat 要求 域名下配置兩個二級域名 兩個二級域名跳轉到同一個IP上 該ip伺服器內部,部署在tomca

新手教程阿里視訊點播,輕輕鬆鬆給網站加上視訊的翅膀

您是不是被網站視訊問題弄的焦頭爛額、心煩意亂、夜不能寐、寢食難安?那麼,看完這裡,以上問題統統都可以解決啦。首先,我們開通阿里雲視訊點播功能,傳送門:https://www.aliyun.com/product/vod 開通需要1-5分鐘時間,請不要重複提交,請耐心等待:)開

為base64編碼的圖片生成截圖不顯示

問題 在effevo中設定個人頭像時,會有無法顯示的情況,還不穩定重現,終於抓到問題原因,下面分享下解決方法 解決方法 先看下原始寫法 var imgBase64='data:image/png;base64,iVBORw0KGgoAAAANSU

SpingMVC靜態資源無法訪問問題解決

看了網上很多解決方案都沒有成功 最後按自己的方案解決了 之前用 <mvc:default-servlet-handler/> 之前用這個配置不成功 改用resouces配置 在sping-web.xml 檔案下配置如下屬性  <mvc:res

MySQL時間索引失效

專案中查時間資料段資料時,發現查詢時間很長,RDS查了一下執行計劃: 各列解析說明: id:表示執行的順序,id的值相同時,執行順序是從上到下,id的值不同時,id的值越大,優先順序越高,越先執行 select_type: 1、SIMPLE表示不包含子查詢和un

Android 使用 Jenkins 實現自動化打包流程&

引言 每個Android開發應該都有經歷過正在碼程式碼的時候突然被打斷要求打個啥啥環境啥啥配置的安裝包,然後就得暫存程式碼、切換分支、更改配置、等待build、balabala……往大了說就是浪費時間消耗員工價值對公司的不負責(胡扯),往小了說就是這TMD真的

報錯 non-static method xxx() cannot be referenced from a static context

bye not ont ODB 原因 con cannot ood ren 今天測試代碼時遇到 Error:(6, 55) java: non-static method sayGoodbye() cannot be referenced from a static

聯合主鍵情況下,JPA非主鍵設定自動增長無效

開發十年,就只剩下這套架構體系了! >>>   

故障公告阿里 RDS 資料庫伺服器 CPU 100% 造成全站故障

非常非常抱歉,今晚 19:34 ~ 21:16 園子所使用的阿里雲 RDS 資料庫伺服器突然出現 CPU 100% 問題,造成全站無法正常訪問,由此您帶來了很大的麻煩,請您諒解。 故障經過是這樣的。19:34 這個時間點本來是一個訪問低峰,資料庫壓力比訪問高峰時低很多,但資料庫伺服器卻異想天開、吃飽了

故障公告阿里 RDS 例項 CPU 100% 故障引發全站無法正常訪問

非常抱歉,今天凌晨 3:20~8:30 左右,我們使用的阿里雲 RDS 例項 SQL Server 2016 標準版突然出現 CPU 100% 故障,造成全站無法正常訪問,由此給您帶來巨大的麻煩,請您諒解。 問題很奇怪,故障期間是資料庫伺服器負載極低的時間段。從阿里雲 RDS 控制檯 CloudDBA 看

故障公告阿里 RDS 資料庫突發 CPU 近 100% 引發全站故障

今天晚上9點我們收到阿里雲的告警通知: 【阿里雲監控】華東1(杭州)-雲資料庫RDS版<cnblogsdb> [instanceId=xxx] 於21:00 發生告警, 前往診斷 CPU使用率平均值(98.25>=80 ), 持續時間4分鐘, rds_Cp

故障公告阿里 RDS SQL Server 資料庫例項 CPU 100% 引發全站故障

非常抱歉,今天 8:48 開始,我們使用的阿里雲 RDS SQL Server 資料庫例項突然出現 CPU 100%  問題,引發全站故障,由此給您帶來麻煩,請您諒解。 發現故障後立即進行主備切換,和往常一樣,第1次主備切換失敗,第2次主備切換完成後恢復正常。 上次同樣故障發生在2020年11月

阿里伺服器Centos7成為肉雞被imWBR1耗盡CPU

背景 檢查伺服器資源的時候發現伺服器的CPUC已經100%,而且是一直是這樣, 最近三天的CPU使用率直方圖 當前一個小時的直方圖 18:15:00筆直下降的是我在處理後CPU的使用率情況 找到它在哪裡 先看top程序使用情況