本身这个案例很简单,主要分享使用chattr工具的安装方法和简单文件特殊权限清除命令,方便快速处理。
现象
1.CPU占用100%
高CPU占用,大概率中了挖矿进程持续损耗CPU2.主机安全检测的木马文件/usr/games/power-on,无法清除隔离。
通过主机安全控制台,无法隔离木马power-on恶意进程定位
1.矿马位置:
代码语言:javascript复制/usr/games/power-on排查:上机
第一步:使用top命令查看当前进程占用情况,发现了games用户的bash命令占用CPU高达196%
games用户高占用CPU进程定位一下/usr/games路径,看看里面有什么玄机文件:
代码语言:javascript复制usr/games/config.json
usr/games/create
usr/games/auto
usr/games/bash
usr/games/hide
usr/games/logs
usr/games/mining
usr/games/ra.pid
usr/games/start
usr/games/config.json
usr/games/create
usr/games/auto
usr/games/bash
usr/games/hide
usr/games/logs
usr/games/mining
usr/games/ra.pid
usr/games/start清理
首先还是先使用kill -STOP将高占用进程先停止,这里不再赘述,我之前的文章里有具体的操作方式。
高占用进程停止后,我们发现这些路径下的文件无法直接通过rm -rf删除
这时候就要使用工具chattr,清除一下文件的特殊权限:
安装chattr
代码语言:javascript复制yum -y install e2fsprogs使用chattr -ias "文件名称" ,清除该文件的特殊权限。
代码语言:javascript复制chattr -ias usr/games/config.json
chattr -ias usr/games/create
chattr -ias usr/games/auto
chattr -ias usr/games/bash
chattr -ias usr/games/hide
chattr -ias usr/games/logs
chattr -ias usr/games/mining
chattr -ias usr/games/ra.pid
chattr -ias usr/games/start
清除特殊权限使用chmod x "文件名称",为文件重新赋权。
代码语言:javascript复制chmod x usr/games/config.json
chmod x usr/games/create
chmod x usr/games/auto
chmod x usr/games/bash
chmod x usr/games/hide
chmod x usr/games/logs
chmod x usr/games/mining
chmod x usr/games/ra.pid
chmod x usr/games/start使用rm -rf清理
代码语言:javascript复制rm -rf usr/games/config.json usr/games/create usr/games/auto usr/games/bash usr/games/hide usr/games/logs usr/games/mining usr/games/ra.pid usr/games/start(2)查看自启动日志,看看是否还有新增任务,观察三个小时,无新增说明已经清理干净,同时观察CPU是否正常
CPU进程已恢复正常总结一下
文件若无法正常执行操作,使用chattr工具清除特殊权限后,再进行执行。
