前情
公司开发环境使用云服务器,前两天服务商发预警邮件提醒说其中一台服务器疑似中了挖矿病毒。具体如下:
### NO.1
* 开始时间: [2024-09-05 xx:xx:xx.0]
* 告警组件 : [socM1]
* 告警级别 : [critical]
* Host Name : [xxx.xxx.xxx.xxx]
* IP Address: [xxx.xxx.xxx.xxx]
* 告警详情:[ip:xxx.xxx.xxx.xxx,分支名称:-,失陷等级:已失陷,名称:[{'name': '感染minepool家族挖矿', 'status': 0, 'type': 'event', 'sort_col': 40302, 'rule_id': [1149000133]}, {'name': '通用远程命令注入攻击', 'status': 0, 'type': 'event', 'sort_col': 40203, 'rule_id': [117930064]}],eventid:f5cc34fac1fe4878ab20959a69f68cff,]
然而top命令并没有发现cpu占用过高。通过netstat -anpt发现有服务器有个可疑连接,指向172.86.75.2,查询得知该ip归属为香港或荷兰。于是在防火墙出规则限制了该ip。
处置过程
- 通过netstat -anpt发现的连接没显示进程号及其他进程信息,通过网上搜索的方法也没能找到显示进程信息的方法。初步怀疑与docker有关,于是禁用docker后重启服务器,连接仍然在。
- clamav全盘扫描 之前该服务器装有定时clamav全盘扫描,但是没生效。这次手动全盘扫描后发现
/usr/lib/libsystemd-shared-165.so: Unix.Malware.Libprocesshider-10030016-0 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 8697999
Engine version: 0.103.11
Scanned directories: 499470
Scanned files: 2447333
Infected files: 1
Total errors: 19600
Data scanned: 95329.87 MB
Data read: 400169.96 MB (ratio 0.24:1)
Time: 48201.947 sec (803 m 21 s)
Start Date: 2024:09:06 08:47:48
End Date: 2024:09:06 22:11:10
于是执行clamsan删除命令
clamscan --remove -ri /usr/lib
再次打开新的会话,之前的网络连接已经没有了,但是发现
ERROR: ld.so: object '/usr/lib/libsystemd-shared-165.so' from /etc/ld.so.preload cannot be preloaded: ignored.
查看/etc/ld.so.preload文件,只有一行
/usr/lib/libsystemd-shared-165.so
清空该文件
echo '' > /etc/ld.so.preload
再次打开会话不再报错。 通过netstat -anpt命令查看异常网络连接,进程信息不再隐藏
tcp 0 0 xxx.xx.xx.xxx:48050 172.86.75.2:443 SYN_SEND 1188/.system
通过ps获取进程信息,删掉文件停止进程
ps -ef|grep 1188
[root@midware spool]# ps -ef|grep 1188
root 1188 1 0 Sep05 ? 00:00:43 /var/spool/.system/.system
root 17711 16459 0 14:50 pts/0 00:00:00 grep --color=auto 1188
[root@midware spool]# rm -rf /var/spool/.system
[root@midware spool]# kill -9 1188
[root@midware spool]# ps -ef|grep 1188
root 17843 16459 0 14:51 pts/0 00:00:00 grep --color=auto 1188
