记录下挖矿病毒
服务器是物理机,所有端口都是暴露开放的。
服务器挖矿 导致 负载cpu内存等异常,
通过排查确定是 kswapd0 挖矿木马
排查过程如下:
top -c
PID: 19980 和 10630 cpu使用率最多
进程PID:10630 ./masscan 为端口扫描工具
进程PID:19980 ./kswapd0 为木马挖矿脚本
通过PID进程查询文件路径
#ls -la /proc/[PID]/exe
ls -la /proc/19980/exe
# [root@localhost ~]# ls -la /proc/19980/exe
# lrwxrwxrwx 1 root root 0 11月 13 22:42 /proc/19980/exe -> /root/.configrc/a/kswapd0
查看文件编辑时间
stat kswapd0
呵,还是新鲜热乎的呢。猜测是脚本自动修改执行
根据kswapd0进程的PID查找相关的网络连接
netstat -natupl | grep [PID]
怀疑是自动执行,查询下定时任务
[root@localhost a]# /var/spool/cron/root
-bash: /var/spool/cron/root: 权限不够
[root@localhost a]# crontab -l
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X206-unix/.rsync/c/aptitude>/dev/null 2>&1定位到/tmp/.X206-unix/.rsync/ 目录删除
kill掉病毒文件进程
kill -9 [PID]查询相应资料说该病毒 会生成/root/.ssh公钥文件进行连接操作等步骤
查看病毒所使用的ssh密钥文件
找到删除即可
病毒结构
经过网上查证,该病毒种类繁多,文件位置基本不一样
/root/.configrc/* 病毒所在目录
/root/.ssh/病毒公钥
/tmp/.X25-unix/.rsync/* 病毒运行缓存文件
/tmp/.X25-unix/dota3.tar.gz 病毒压缩包
/root/.configrc/a/kswapd0 病毒主程序
==========病毒相关计划任务==========
1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1
@reboot /root/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1
@reboot /root/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1总结一下大致的处置流程:
1.直接kill掉kswapd0的进程ID,后续观察服务,然后 清理计划任务: crontab -e
2.删除/root/ 目录下的.configrc病毒文件夹
3.删除/root/ 目录下的.ssh病毒公钥文件夹
4.删除/tmp/.X25-unix/或/dev/shm/.X19273/病毒运行文件。
其实在定位到进程文件的时候,就在网上搜了下该病毒对应的处置思路。
附上相关链接:
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=148169
http://www.hackdig.com/12/hack-243523.htm
评论