当我们发现服务器资源大量被占用的时候,疑似中招了怎么办
第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源
第一步检查高占用进程
top -c
ps -ef
要注意这里%CPU,如果出现100.0之类或者异常高占用的进程,那么毋庸置疑它正在被奴役挖矿
可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了
那么我们怎么清退它呢?
ps -ef | grep xmrig
ps -ef | grep sysetmd
这里杀掉sysetmd进程
kill -9 475
我们可以在这里找到木马程序所在的目录,咱们进去把这些文件全删除了
rm -rf xmrig*
rm -rf /opt/sysetmd
删除了文之后,我们需要杀掉该挖矿进程
kill -9 挖矿进程的pid
kill -9 1138
这样挖矿的进程已经被删除了,还得做点其它的事
grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd" /etc/systemd/system/*
发现这两个不知道哪里来的服务,进去look look
可以发现它还是与木马有关,那我们得弄它
rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/systemd/system/monero.service
好了服务弄没了
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务
crontab -l
我这里没有异常的定时
然后,我们看看有没后门用户
cat .ssh/authorized_keys
这里我就不演示了,我用的事账号密码登录 ssh
我直接查看有没有留后门用户
cat /etc/passwd
有一个异常的账号,除了root,居然还有一个超级权限,这确定不是自己以及其它开发人员创建的
那么我们干他丫的
userdel shaojiang99
发现它被一个进程为1的进程使用
注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办
直接vipw
直接删除这个账号,发现怎么都保存不了,权限给过去也是没有办法
那我们来看看这个文件的属性
lsattr /etc/passwd
发现该文件的属性为i 锁定状态
chattr -i /etc/passwd
然后再编辑 vipw
发现可以保存了
chattr +i /etc/passwd
重新锁定
清理完了