2. 程式人生 > >Linux 遭入侵,挖礦進程被隱藏排查記錄

Linux 遭入侵,挖礦進程被隱藏排查記錄

阿新 發佈:2019-03-15
基於 etcd https == rgs 刪除文件 dashboard ttr 基本

今天來給大家分享下這兩天遇到的一個問題,服務器被挖礦了,把我的排查記錄分享下,希望能幫到有需要的同學。

問題原因

多臺服務器持續告警CPU過高,服務器為K8s的應用節點,正常情況下CPU使用率都挺低的,通過排查是原因是被挖礦了,下面為定位過程

定位過程

登陸問題主機10.92.0.X,通過執行top命令查看資源使用情況如下

技術分享圖片

cpu使用率基本跑滿(用戶態),沒有發現可疑的進程,初步懷疑可能是進程在哪裏隱藏了

執行命令ps -aux --sort=-pcpu|head -10

嗯哼,藏得夠深的,可還是被揪出來啦技術分享圖片

技術分享圖片

這個eta可能是起的一個守護進程,用於喚起上面圈起來的python進程,

這個腳本的用途是,鏈接遠程服務"http://g.upxmr.com:999/version.txt",並下載 寫入到本地隱藏文件/tmp/.x,然後執行

註意:這個執行文件會修改服務器的一些配置,如dns,hosts,定時任務,創建可執行文件

查看dns

果然dns被修改了

技術分享圖片

查看定時任務

一般情況使用crontab -l是看不到的,需要查看/etc/crontab,

發現定時任務被加入了一條

0 /8 * * root /usr/lib/libiacpkmn.so.3

技術分享圖片

根據定時任務中的可疑文件所在路徑/usr/lib/libiacpkmn.so.3,

排查中發現/etc/rc.d/init.d/,/usr/bin/存在可執行文件nfstruncate,

在rc0.d-rc6.d目錄下都存在S01nfstruncate文件,可能是自啟動文件

現在排查的很明朗了,接下來著手清理工作

1. 阻斷挖礦程序鏈接外網服務(很重要)

在/etc/hosts裏增加一條

127.0.0.1?g.upxmr.com

阻斷挖礦程序鏈接外網下載可執行文件,不加了的話幹掉服務又會起來(除非把服務器網斷了)

2. 幹掉可疑程序“ata”進程

[root@dtdream-common-prod-nginx-03 ~]# kill -9 70497

再次查看發現cpu使用率降下來了,挖礦程序也沒啟動了。

技術分享圖片

技術分享圖片

3. 刪除定時任務及文件

根據上面定時任務截圖,需要徹底刪除該腳本文件 /usr/lib/libiacpkmn.so.3 。

執行

[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

結果顯示刪除文件沒權限,很奇怪,使用

[root@dtdream-common-prod-nginx-03 ~]#lsattr /usr/lib/libiacpkmn.so.3

發現文件被鎖住了,很好解決,解鎖再刪就行了。

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/lib/libiacpkmn.so.3[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/lib/libiacpkmn.so.3

刪除nfstruncate

[root@dtdream-common-prod-nginx-03 ~]#chattr -i /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /usr/bin/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#chattr -i /etc/init.d/nfstruncate[root@dtdream-common-prod-nginx-03 ~]#rm -rf /etc/init.d/nfstruncate

刪除軟連

[root@dtdream-common-prod-nginx-03?~]# find / -name "S01nfs*"/etc/rc.d/rc1.d/S01nfstruncate/etc/rc.d/rc2.d/S01nfstruncate/etc/rc.d/rc4.d/S01nfstruncate/etc/rc.d/rc3.d/S01nfstruncate/etc/rc.d/rc6.d/S01nfstruncate/etc/rc.d/rc5.d/S01nfstruncate/etc/rc.d/rc0.d/S01nfstruncate[root@dtdream-common-prod-nginx-03?~]#find / -name "S01nfs*"|xargs rm -f

操作完之後, 長時間觀察CPU無再升高

結論:問題是初步解決了,但是根源還沒找到,因為我們的服務都是部署在內網的,挖礦程序是從哪個入口侵入的還有待排查

這次分享希望對也中挖礦程序的同學,?提供一些排查思路

往期文章一覽

1、Kubernetes集群搭建之系統初始化配置篇

2、Kubernetes集群搭建之企業級環境中基於Harbor搭建自己的私有倉庫

3、Kubernetes集群搭建之Etcd集群配置篇

4、Kubernetes集群搭建之CNI-Flanneld部署篇

5、Kubernetes集群搭建之Master配置篇

6、Kubernetes系列之Coredns and Dashboard介紹篇

END

如果您覺得不錯,請別忘了轉發、分享、點贊讓更多的人去學習, 您的舉手之勞,就是對小編最好的支持,非常感謝!

技術分享圖片

Linux 遭入侵,挖礦進程被隱藏排查記錄

相關推薦

Linux 入侵隱藏排查記錄

基於 etcd https == rgs 刪除文件 dashboard ttr 基本 今天來給大家分享下這兩天遇到的一個問題,服務器被挖礦了,把我的排查記錄分享下,希望能幫到有需要的同學。 問題原因 多臺服務器持續告警CPU過高,服務器為K8s的應用節點,正常情況下CPU

Jenkins踩坑系列--你試過linux主機ssh登錄windows啟動java來試試吧

是否 dmp .bat opts 在服務器 qq群 持續集成 version 啟動服務 一、問題概述 在一個多月前,組長讓我研究下持續集成。我很自然地選擇了jenkins。當時,(包括現在也是),部分服務器用的是windows主機。 我當時想了想,如果我把jenkins

利用taskset命令將某綁定到某個CPU上

進程 taskset 綁定到cpu taskset (util-linux-ng 2.17.2) usage: taskset [options] [mask | cpu-list] [pid | cmd [args...]] set or get the affinity of a proces

Linux 可執行文件與內存結構, Linux 內存加載

執行文件 linux 字符串 程序 一個可執行程序包含三個部分代碼段:主要存放指令,操作以及只讀的(常量)數據(例如字符串常量)。數據段:全局或者靜態的已經初始化的變量。BSS 段:全局或者靜態的未初始化的變量。棧上面有1G內存時Linux內核區,與棧之間有一個gap隨機地址,防止代碼攻擊。數

C#程序調用cmd.exe執行其他exe(並且含多個參數)並把結果返回給字符串

() stat syntax || 錯誤 void dia clas ring 1.關鍵代碼部分。 using System.Diagnostics; public class CmdHelper {

總結一個主啟動子刪除主文件和目錄的問題

發現 col spa exe tor 總結 directory 最簡 installer 首先,我們啟動子進程的時候,要修改子進程的工作目錄。 ProcessStartInfo pi = new ProcessStartInfo(fileName, arg

關於文件保存/關閉時報錯:文件正由另一使用因此該無法訪問此文件。

讀取 顯示 對象 必須 文件 ons 完整 comment static 起因:最近給Unity上的遊戲寫關於存檔的腳本,使用了xml。然後發現每次文件保存時,也就是調用XmlDocument.Save()對象方法的時候就會報錯說該文件路徑分享異常啥的我也不記得了。然後搞了

tomcat正常運行一段時間後tomcat異常停killed

remove rss table ble 需求 nes 決定 href pru tomcat異常停,進程被killed 對應tomcat日誌如下: /application/tomcat-service-8080/bin/catalina.sh: line 386: 437

Linux查看端口、情況及kill

-1 信息 alt 例如 搜索 端口、進程 mage image bsp 看端口: ps -aux | grep tomcat 發現並沒有8080端口的Tomcat進程。 使用命令:netstat –apn 查看所有的進程和端口使用情況。發現下面的進程列表,其中最後一欄是P

測試開發linux面試之三:後臺之操作

狀態 很好 分配 例如 名稱 標識 批處理 推薦 子進程 Hi,大家好我是Tom,繼上次分享之後這次給大家帶來新的知識。 進程是Linux系統中一個非常重要的概念。Linux是一個多任務的操作系統,系統上經常同時運行著多個進程。我們不關心這些進程究竟是如何分配的,或者是內核

linux一天一個腳印:的管理

linux基礎命令進程進程: 運行在內存中程序實例 , 進程是程序運行的一種狀態 , 是內存中的概念,進程與進程之間無法訪問對方私有的內存區域。線程: 程序運行的最小單元,一個進程可以派生出多個線程,同一個進程內的線程之間可以相互訪問彼此內存區域,並且可以共享同一進程的共享內存區域。進程編號:pid父進程編號

linux下如何查看哪些占用的CPU內存資源最多

行數 道理 ini nic ice 輸出格式 true 用戶 nbsp 1、linux下獲取占用CPU資源最多的10個進程,可以使用如下命令組合: ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head

linux-RAID磁盤陣列、管理、日誌管理、systemctl控制

達內/linux/計算機/雲維/雲計算/紅帽/RAID磁盤陣列 廉價冗余磁盤陣列RAID– Redundant Arrays of Inexpensive Disks– 通過硬件/軟件技術,將多個較小/低速的磁盤整合成一個大磁盤– 陣列的價值:提升I/O效率、硬件級別的數據冗余– 不同RAID級別的功能、特性

Linux後臺有個systemd-r,占用5355等端口

log class resolv div vim 配置文件 etc 配置 emc 編輯配置文件 vim /etc/systemd/resolved.conf 設置LLMNR=0 重啟服務: systemctl restart systemd-resolved.servic

LNMP(php-fpm的pool慢執行日誌定義open_bashdirphp-fpm管理

max 連接池 per hit sele files 註意 配置文件 strong 一、php-fpm的pool(連接池)我們查看php的進程時,會發現,在最後一個pool的選項,而這個就是我們在php-fpm配置文件裏寫的一個連接池。[root@lnmp ~]# ps a

linux命令dmesg查看殺死原因

info 參考 顯示 新的 內容 inf 系統 -c body 有一次一個python進程掛了,使用了下這個命令。 可以看到原因:虛擬機總共內存8082608KB,結果python項目就消耗掉了7341764KB,內存泄露,導致python進程被系統殺死 順帶介紹

Linux下如何查看哪些占用的CPU、內存資源最多

默認 虛擬 BE htm blank class 運行 number ref linux下獲取占用CPU資源最多的10個進程,可以使用如下命令組合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|headlinux下獲取占

傳小米推區塊鏈寵物“加密兔”已成為一種營銷手段傳小米將推區塊鏈寵物“加密兔”已成為一種營

小米加密兔3月10日,有網友在微信群分享了疑似小米區塊鏈產品“加密兔”的鏈接,小米或將推出自己的區塊鏈遊戲項目。 一、關於小米區塊鏈寵物“加密兔” 從曝光的2張微信群聊天截圖來看,小米應該正式進軍區塊鏈遊戲領域了。 從小米“加密兔”看區塊鏈遊戲,挖礦已成為一種營銷手段 歡迎使用加密兔區塊鏈寵物(以下簡稱:加密

第一次作業:基於linux操作系統深入源碼模型分析

getpid tree 容器 svi 執行過程 網絡服務 -h cfs 阻塞 1.關於進程 定義: 進程(Process)是計算機中的程序關於某數據集合上的一次運行活動,是系統進行資源分配和調度的基本單位,是操作系統結構的基礎。在早期面向進程設計的計算機結構中,進程

第一次作業:基於Linux系統深入源碼分析模型

wake up nta emp else Go nts 進程資源 4.2 main 1.前言 本文主要基於Linux 2.6源代碼分析進程模型。源代碼下載地址:https://elixir.bootlin.com/linux/v2.6.39/source 2.進程 定義:進