CPU被挖矿排查方案
1.公私钥免密登录方式入侵
查看/root/.ssh/authorized_keys
[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······
如果有authorized_keys文件中的公钥请及时清理,或者删除该文件
当使用rm删除文件和文件夹的时候提示:rm: 无法删除"bash": 不允许的操作
解决方法:
1、查看文件属性
lsattr filetodel<br>----ia-------e- filetodel
可以看到此文件有-i 和-a属性,此时我们只要将此属性删除掉即可
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过命令 lsattr 可以查看这些属性.
2、删除属性:
chattr -i authorized_keys2
chattr -a authorized_keys2
chattr -u authorized_keys2
再次删除该文件,即可正常删除了
2.cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了
可能是起的一个守护进程
执行命令ps -aux --sort=-pcpu|head -10
查看dns
果然dns被修改了
查看定时任务一般情况使用crontab -l是看不到的,需要查看/etc/crontab
发现定时任务被加入了一条
0 */8 * * * root /usr/lib/libiacpkmn
根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn
排查中发现/etc/rc.d/init.d/, /usr/bin/存在可执行文件nfstruncate,
在rc0.d-rc6.d目录下都存在S01nfstruncate文件,可能是自启动文件
现在排查的很明朗了,接下来着手清理工作
- 阻断挖矿程序链接外网服务(很重要)
在/etc/hosts里增加一条
127.0.0.1 g.upxmr.com
阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了) - 干掉可疑程序“ata”进程
kill -9 {PID}
再次查看发现cpu使用率降下来了,挖矿程序也没启动了。 - 删除定时任务及文件
根据上面定时任务截图,需要彻底删除该脚本文件 /usr/lib/libiacpkmn
执行 rm -rf /usr/lib/libiacpkmn
排查步骤:
使用top命令观察占用cpu程序的PID
通过PID查看该程序所在的目录:ls /proc/{PID}/
执行ll /proc/{PID}查看该程序运行的目录
进入该目录并进行查看都有哪些文件
将这些文件的权限全部修改成000,使这些程序无法继续执行:chmod 000 -R *
然后kill -9 {PID}
补充:
执行crontab -l 查看是否有可疑计划任务在执行,如有请及时删除(crontab -r)
通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的,但/root/.bashtemp/目录下还有很多这样的程序,所以也要执行:chmod 000 -R * 将所有恶意程序的权限清除
一般来讲通过以上步骤可以将恶意程序干掉,但不排除不法分子还留有其他后门程序,为了避免类似情况发生,建议保存重要数据后重装操作系统,后续请对服务器做安全加固,以免再次被入侵,比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法
