发现历程:
领导反映公司跳板机到达一台内网机cpu暴涨
上机查看:
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head
除了正常项目之外有一个项目下普通用户起的bash进程 cpu占用简直可怕。
据经验发现加密字符串意思网络山寨币的电子钱包形式,取字符串“stratum+tcp://3565235355:443”百度后发现:
确凿为被植入挖矿程序。因所利用方式为消耗cpu,则断定入侵者跑起来的是门罗币的挖矿脚本。
top c查看:
ll -d /proc/4108,发现挖了两天矿了
搜索字符串“stratum+tcp://3565235355:443” 并不与百度资料所显特征相符,打听朋友处判断到是十进制ip地址,转换后:
再访问:
1000%确诊机器被人植入门罗币挖矿脚本。
kill一次后观察:
kill两次后观察:
确凿为计划任务半小时执行一次。
查看计划任务:
设置了30分钟一次的执行脚本
在/var/tmp/目录下的.目录中的c被执行了。
我们追查进去看下:
hdfs建立了一个.+空格的隐藏目录,我们进入查看
ok,查到所执行的c文件。
修复思路:
1、kill掉高占用cpu的进程,最大可能恢复服务器短暂持续正常运行。
2、清除定时任务文件如图:
3、将/var/tmp/“. “目录下文件删除
注意:目录名为英文双引号中间点+空格 /var/tmp/“. “
声明:本文为原创文章,版权归lsh4ck's Blog所有,欢迎分享本文,转载请保留出处!
