记一次矿机病毒的排查及解决

服务器操作系统：Centos7 AliYun VPS

问题发现：

阿里云报警。说有一个进程正在和恶意IP通信。

问题排查：

运行top命令，查看进程，发现有一个进程占用了200%的CPU，按c键可以查看到进程原始命令及参数，我的服务器是4核的，他用了两核，还挺小心的，可惜，还是被阿里云的监控发现了。

image-20191207004744681.png

看看这个进程是哪个进程运行起来的：

[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep xmno32
4 S     0 16453 16443 99  65 -15 - 738595 ep_pol pts/0   1-13:32:23 xmno32

看第4列，这是xmno32这个进程的PID，再看第5列，这个就是运行xmno32进程的父进程ID，称为PPID，依照此法，继续往上找。

[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep 16443
0 S     0 16443 11897  0  80   0 -  2922 do_wai pts/0    00:00:00 sh
4 S     0 16453 16443 99  65 -15 - 738595 ep_pol pts/0   1-13:34:01 xmno32
[root@iz2zeeet5ppvarljlip39oz ~]# ps -lA |grep 11897
0 S     0 11897     1  8  80   0 - 1405469 futex_ pts/0  02:16:53 java
0 S     0 16443 11897  0  80   0 -  2922 do_wai pts/0    00:00:00 sh

一直向上追查，直到看到了一个自己认识的进程名称：java，看来是通过某个B/S应用进来的，看看是哪个应用：

[root@iz2zeeet5ppvarljlip39oz ~]# ps -ef |grep 11897
root     11897     1  8 Dec05 pts/0    02:16:54 /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.171-8.b10.el7_5.x86_64/jre/bin/java -server -Dinstall4j.jvmDir=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.171-8.b10.el7_5.x86_64/jre -Dexe4j.moduleName=/user/app/nexus-3.11.0-01/bin/nexus 
......

嗯，看来是通过nexus漏洞进来的.

问题解决：升级nexus喽