Dragon
  • 一个纯白的黑客网站,一直在努力,apt的路上,更精彩!
lsh4ckLsh4ck  2019-01-08 10:17 lsh4ck's Blog 隐藏边栏 |   抢沙发  669 
文章评分 1 次,平均分 5.0

发现历程:

领导反映公司跳板机到达一台内网机cpu暴涨

上机查看:
ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head

除了正常项目之外有一个项目下普通用户起的bash进程 cpu占用简直可怕。
据经验发现加密字符串意思网络山寨币的电子钱包形式,取字符串“stratum+tcp://3565235355:443”百度后发现:
确凿为被植入挖矿程序。因所利用方式为消耗cpu,则断定入侵者跑起来的是门罗币的挖矿脚本。
top c查看:
ll -d /proc/4108,发现挖了两天矿了
搜索字符串“stratum+tcp://3565235355:443”  并不与百度资料所显特征相符,打听朋友处判断到是十进制ip地址,转换后:
再访问:
1000%确诊机器被人植入门罗币挖矿脚本。
kill一次后观察:
kill两次后观察:
确凿为计划任务半小时执行一次。
查看计划任务:
设置了30分钟一次的执行脚本
在/var/tmp/目录下的.目录中的c被执行了。
我们追查进去看下:
hdfs建立了一个.+空格的隐藏目录,我们进入查看
ok,查到所执行的c文件。

修复思路:

1、kill掉高占用cpu的进程,最大可能恢复服务器短暂持续正常运行。

2、清除定时任务文件如图:

3、将/var/tmp/“. “目录下文件删除

注意:目录名为英文双引号中间点+空格   /var/tmp/“. “



本文为原创文章,版权归所有,欢迎分享本文,转载请保留出处!

lsh4ck
Lsh4ck 关注:0    粉丝:8
这个人很懒,什么都没写
×

予人玫瑰,手有余香

打赏 Lsh4ck

打开支付宝扫一扫,即可进行扫码打赏哦

发表评论

表情 格式 链接 私密 签到

扫一扫二维码分享

无觅相关文章插件,快速提升流量