记一次云服务器中招排查的过程

2020-10-30 12:49:13 浏览数 (1)

相信有很多人和我一样,花钱养着一个性能尚可的云服务器,但是却啥都没有部署,总想着什么时候能够大展宏图,部署个网站或者 API 啥的。但是理想很丰满,现实就太骨感,期待的网站和 API 没有到来,来的却是无情的挖矿程序!

缘起

突然有一天,收到了服务商的短信,说某些端口被断流了,服务器有异常网络访问。当时没有放在心上,反正上面啥也没有,就算爆炸了又能怎么滴!

但是在接下来的几天里,这种短信却像雪花一样不断的震动着手机,我才发现,事情可能不是很妙,该出手清理下久违的服务器了。

着手排查

首先先用 top 命令来查看下是否有异常进程

发现果然第一个进程 cpu 占用太高,过于异常,而且记忆中在自己的服务器上也没有部署 jenkins 啊,这个用户太可疑。

接下来再使用如下命令确认一下,查看是否有隐藏过深的进程

ps -aux --sort=-pcpu|head -10

发现果然是进程 kswapd0,还有一个进程 X3-table 也很奇怪,在 tmp 目录下,尼玛正常程序会放在这里?

锁定这两个进程之后,我先到 tmp 目录下查看一番,发现有好多近期的隐藏文件,不说了,都删掉

然后再把上面找出的两个可疑进程 kill 掉

下面着手处理 jenkins 用户,在使用 userdel jenkins 时,会提示仍然有进程在启动,看来这个用户启动的进程还是很多的,根据提示,kill 进程后再删除用户以及用户的家目录 /home/jenkins 下所有文件 # 图片4

下面再检查下 crontab 定时任务,一般使用 crontab -l 是看不到异常的,可以进入到如下目录查看是否有异常用户,如果有,删除之

/var/spool/cron/

之后还可以再检查下 /etc/resolv.conf 和 /etc/hosts 里面是否有不明指向,如果有的话,也可以删除

最后,再分享一个经验之谈,可以看看诸如 /dev 等目录下是否有可疑文件,比如下面这个

这里的 shm 就是一个木马程序,真真坑啊,删除

这样一圈下来,服务器基本清净了,不得不说,常在河边走,多备两把刀啊!!

问题遗留

当前虽然说把挖矿木马程序清除了,但是这个程序是如何进来的呢,真的是一个头两个大啊,看来对于服务器的日常维护,还是要好好进行啊,否则你对它爱答不理,它就会给你眼色瞧瞧哦!

点点 在看 行不行

0 人点赞