记一次服务器被植入挖矿病毒经历,CPU飙升200%

2,524 阅读2分钟

背景

去年用公司淘汰的一台旧笔记本搭建了一个简单的NAS系统(基于TrueNAS),并开通了公网IP,以便使用一些docker应用

排查过程

当天回家时发现笔记本运行声音异常,于是赶紧连上SSH查用top看了下CPU运行情况 6e6599f2bcfb8e68e6904071c917cb8.png

当时很奇怪,怎么会出来一个python程序给cpu干到了200%,于是用平时开发中查看java服务的命令查看了下当前运行python的程序

ps -ef | grep python

结果就发现了一个可疑的python进程,并在显示的信息发现了个外链IP139.99.123.196。当时没多想就赶紧给kill掉了进程。然后在浏览器地址输入了那个外链IP

426ad3c5b08892b450d6283028820b1.png
Mining Pool Online,果然是个矿池。
在停掉相关进程之后赶紧在linux服务器上排查清理脚本

为什么会被植入挖矿脚本

他们是如何登入我的服务并植入挖矿脚本的呢,现在想想有以下几点可能
1. 对外暴漏ssh端口过于简单(我的是默认的22)
2. 用户弱口令
图一可见我的用户名是sl,这是在TrueNAS中配置的一个临时非root用户,由于当时没考虑那么多哦,密码也设置的sl,雀实太简单了,大概率就是这个入口了

1646319716(1).jpg 3.安装的应用(中间件)的漏洞,redis、Jenkins等漏洞,甚至前段时间的Log4j
TrueNAS本身或者其夹带的服务、web协议可能也会存在漏洞。

总结

公网有风险,开通需谨慎。不要使用弱口令。
最后贴个我的小NAS图,有时间会写一篇关于NAS的文章(伪需求?)。 0d4e95c334fe7665221c5cdb2f16402.jpg