Dragon
adminAdmin  2019-01-08 10:17 来源:lsh4ck's Blog 隐藏边栏 |   抢沙发  25 
文章评分 0 次,平均分 0.0

发现历程:

领导反映公司跳板机到达一台内网机 cpu 暴涨

上机查看:

除了正常项目之外有一个项目下普通用户起的 bash 进程 cpu 占用简直可怕。
据经验发现加密字符串意思网络山寨币的电子钱包形式,取字符串“stratum+tcp://3565235355:443”百度后发现:
确凿为被植入挖矿程序。因所利用方式为消耗 cpu,则断定入侵者跑起来的是门罗币的挖矿脚本。
top c 查看:
ll -d /proc/4108,发现挖了两天矿了
搜索字符串“stratum+tcp://3565235355:443”  并不与百度资料所显特征相符,打听朋友处判断到是十进制 ip 地址,转换后:
再访问:
1000%确诊机器被人植入门罗币挖矿脚本。
kill 一次后观察:
kill 两次后观察:
确凿为计划任务半小时执行一次。
查看计划任务:
设置了 30 分钟一次的执行脚本
在/var/tmp/目录下的.目录中的 c 被执行了。
我们追查进去看下:
hdfs 建立了一个.+空格的隐藏目录,我们进入查看
ok,查到所执行的 c 文件。

修复思路:

1、kill 掉高占用 cpu 的进程,最大可能恢复服务器短暂持续正常运行。

2、清除定时任务文件如图:

3、将/var/tmp/“. “目录下文件删除

注意:目录名为英文双引号中间点+空格   /var/tmp/“. “

本文为原创文章,版权归所有,欢迎分享本文,转载请保留出处!

admin
Admin 关注:0    粉丝:0
这个人很懒,什么都没写
×

感谢您对admin的支持,么么哒~

支付宝打赏 admin
请扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

lsh4ck's Blog - Hacking is endless! Focus on network security!

发表评论

表情 贴图 链接 私密 格式 签到

切换注册

登录

忘记密码 ?

切换登录

注册

验证码

扫一扫二维码分享