本文已参与新人创作礼活动,一起开启掘金创作之路。
清理挖矿病毒[crypto][pnscan]
**新买的云服务器cpu占用100%,瞬间想到挖矿木马。
排查过程如下:**
1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了
3、想到使用chattr -i /usr/bin/netstat,但提示没权限,执行lsattr命令后,发现其被赋予了i属性,不可修改
4、自己重新编译chattr wget github.com/posborne/li…
gcc chattr.c -o chattr
rm /usr/bin/chattr
cp chattr /usr/bin/
chattr -ia /usr/bin/netstat
chmod +x /usr/bin/netstat
发现名为[crypto],[pnscan]的进程可疑,查一下它访问的ip地址,发现是美国的,基本就是他了
whereis crypto
whereis pnscan
删掉源文件
rm usr/local/bin/pnscan
rm -rf /usr/share/[crypto]*
根据netstat -anptl
杀掉crypto,pnscan所有进程
查看定时任务
crontab -l
清理所有定时任务
中毒原因分析:
redis没设置密码,大意了,服务器忘了关闭redis端口了
