舍友在宿舍喊着,我的这个云主机好卡啊难受啊!我让他用top命令看一下CPU占用。
一看吓一跳一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%
看来肯定是被当矿机了。
这个病毒还不是算很变态很多挖矿病毒,使鼡top命令都看不到挖矿程序的进程
基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了我们需要先找到他。
使用kill -9的方法杀死对應的PID但是发现很快又会重新启动
直接rm -rf sysupdate会提示没有权限删除,作为linux下的超级用户root有权限删除任何文件,一定是对文件加了只读权限
基于經验应该是病毒使用了chattr +i的命令。所以只要先执行chattr -i sysupdate然后就可以正常删除了。
然后…很快就又被创建出来了应该是有守护进程什么的。
這种情况我首先想到了是不是有什么计划任务果不其然,上图
这个计划任务会定时去这个网址下载脚本并执行直接删除计划任务一会還会自动生成
所以先要关掉crond,防止在清除过程中又开始下载脚本
找到了这个定时执行的源头,我们来简单分析一下这个脚本主要内容如下
創建/root/.ssh/authorized_keys,添加病毒作者自己的公钥保证其可以使用SSH登录到服务器,算是个后门吧
然后就是添加定时任务,为文件添加chattr +i修改IPTABLES,清楚日志关闭SELinux等等。
2.kill命令将相关进程干掉用chattr -i和rm命令,将上述/tmp下的文件全部删除
5…删除用户列表中陌生的帐号
6.修改ssh默认端口号,我怀疑是被暴仂破解密码进来的所以可以使用一些工具限制ssh密码错误次数,超过次数就直接用IPTABLES丢弃了封了他的ip,可以使用fail2ban工具