运维不正经 2022-04-01 15:51 采纳率: 85.7%
浏览 38
已结题

记一次服务器被当作肉鸡-挖矿病毒

1.阿里云服务器收到信息有异常脚本,去查看发现被当肉鸡

img


2.查看进程文件,发现该执行文件,(指向的是/var/tmp/的可执行文件)(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)

img


(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)(云服务上后边没有deleted)不懂为啥

img


查看计划任务,没有发现异常任务,查看计划任务日志,无异常,后续又进行一些其他的排查(可能是我太菜,没发现什么异常)

3.杀死进程后,查看进程发现:如下图

img


该路径下无此sh文件,且这两个进程结束后,图一中的进程再次出现,

4.后续一直排查,找到了一些异常软链接,后边发现了链接指向目录/etc/alternatives
天真以为那个进程创建,情急之下,整个目录删除,
杀死那个进程,后来那个进程也没启动了,
网上查了一下,发现那个目录并非一场目录,后续 担心出现其他问题,选择重装系统

问题:
1.此进程杀死后,又再次运行是为什么,我找不到守护进程
2.找不到此挖矿的路径,以及做了些什么,我知道肯定会留下痕迹,但是我没找到,登录记录和历史操作记录,各种欸之查看没找到,哪个时间段的日志都在,完全不知道,是怎么进来,以及怎么操作的

另外,那个进程文件被我下载下来了
用的那个curl,只有一个可执行文件,有想要的可私我

因为当时比较急,没仔细找,只想着把这个毒给拔了,现在回想起来,有好多细节没注意到,所以想问问大家可否遇到过这种,麻烦给我解个惑(要不然饭都吃不下)

  • 写回答

1条回答 默认 最新

  • x10n9 2022-04-01 16:30
    关注

    你看下监听的端口,看能不能找得到一个比较大的端口在监听,进程名比较随机,这个就是守护进程,我遇见几次这种挖矿病毒。2很可能是通过一些中间件的漏洞RCE进来的,如log4j这类,建议检查下所部署的软件版本信息,看是否存在相关漏洞

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 4月26日
  • 已采纳回答 4月18日
  • 修改了问题 4月1日
  • 创建了问题 4月1日

悬赏问题

  • ¥15 MATLAB动图问题
  • ¥15 有段代码不知道怎么理解,const isToken = (config.headers || {}).isToken === false
  • ¥100 采用栈和深度优先算法对我的代码进行修改显示路径
  • ¥15 pointnet2包安装
  • ¥20 射频功率问题,解答者有酬谢!
  • ¥80 构建降雨和积水的预测模型
  • ¥15 #Qt Transform setTransform()在鼠标拖动移动视角是一致在原地不动,无法变换视角(细微观察似乎视图有在原地抖动),无法变换视角(细微观察似乎视图有在原地抖动)
  • ¥50 如何利用无人机拍摄的数码照片测量鸟卵的长短径
  • ¥100 github贡献者给与奖励
  • ¥15 使用DS18B20+ESP8266获取温度数据返回-127.00