运维不正经 2022-04-01 15:51 采纳率: 85.7%
浏览 38
已结题

记一次服务器被当作肉鸡-挖矿病毒

1.阿里云服务器收到信息有异常脚本,去查看发现被当肉鸡

img


2.查看进程文件,发现该执行文件,(指向的是/var/tmp/的可执行文件)(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)

img


(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)(云服务上后边没有deleted)不懂为啥

img


查看计划任务,没有发现异常任务,查看计划任务日志,无异常,后续又进行一些其他的排查(可能是我太菜,没发现什么异常)

3.杀死进程后,查看进程发现:如下图

img


该路径下无此sh文件,且这两个进程结束后,图一中的进程再次出现,

4.后续一直排查,找到了一些异常软链接,后边发现了链接指向目录/etc/alternatives
天真以为那个进程创建,情急之下,整个目录删除,
杀死那个进程,后来那个进程也没启动了,
网上查了一下,发现那个目录并非一场目录,后续 担心出现其他问题,选择重装系统

问题:
1.此进程杀死后,又再次运行是为什么,我找不到守护进程
2.找不到此挖矿的路径,以及做了些什么,我知道肯定会留下痕迹,但是我没找到,登录记录和历史操作记录,各种欸之查看没找到,哪个时间段的日志都在,完全不知道,是怎么进来,以及怎么操作的

另外,那个进程文件被我下载下来了
用的那个curl,只有一个可执行文件,有想要的可私我

因为当时比较急,没仔细找,只想着把这个毒给拔了,现在回想起来,有好多细节没注意到,所以想问问大家可否遇到过这种,麻烦给我解个惑(要不然饭都吃不下)

  • 写回答

1条回答 默认 最新

  • x10n9 2022-04-01 16:30
    关注

    你看下监听的端口,看能不能找得到一个比较大的端口在监听,进程名比较随机,这个就是守护进程,我遇见几次这种挖矿病毒。2很可能是通过一些中间件的漏洞RCE进来的,如log4j这类,建议检查下所部署的软件版本信息,看是否存在相关漏洞

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 4月26日
  • 已采纳回答 4月18日
  • 修改了问题 4月1日
  • 创建了问题 4月1日

悬赏问题

  • ¥15 使用R语言GD包一直不出结果
  • ¥15 计算机微处理器与接口技术相关问题,求解答图片的这个问题,有多少个端口,端口地址和解答问题的方法和思路,不要AI作答
  • ¥15 如何根据一个截图编写对应的HTML代码
  • ¥15 谁能远程帮我装好软件,破解覆盖主程序,启动后左侧选择字典,输入单词,报酬15元,加我微信15218392686
  • ¥15 stm32标准库的PID角度环
  • ¥15 ADS已经下载好了,但是DAS下载不了,一直显示这两种情况,有什么办法吗,非常急!
  • ¥100 Excel 点击发送自动跳转outlook邮件
  • ¥15 gis中用栅格计算器或加权总和后图层不显示,值也明显不对
  • ¥15 python使用python-pptx如何给幻灯片添加只读密码。
  • ¥15 深度神经网络传递自变量损失