| 关键词: 病毒 root configrc 密码 目录 任务 perl 服务器 端口 |
一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。 那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743,通过 ll /proc/2743,我们看进程里啥玩意。看到了执行了 一个 /root/.configre/a/kswapd0 ,这个就太形迹可疑了,这完全是病毒程序呀,还在/root/.configrc/ 目录里。 我们查看下,这个查看下这个进程是否有对外连接端口,netstat -anltp|grep kswapd0,显示IP是的 45.9.148.117的 查询了一下,是一个荷兰的IP地址: 习惯的再看了下 计划任务,crontab -e,好家伙,计划任务里面也不少。tmp目录也有。 ==, last,我们看下安全日志有无无异常 less /var/log/secure|grep 'Accepted' 查了一个ip,85.25.197.79 85.203.33.49 ,一个法国,一个德国的。应该都是代理啥的吧。 看来是被入侵无疑了,还用root ssh上来的。基本上的root密码太简单了,比如我这朋友设置的 密码就是 类似于 1q2w3e.. 类似这样的,这些扫描病毒常用字段都是有的,赶紧改了 病毒结构病毒结构,我看到的是这样的 (经过网上查证,该病毒种类繁多,文件位置基本不一样) 病毒处理1、先立即修改掉密码。删除一些后门ssh key内容。 2、直接kill掉2743进程,后续观察服务,然后 清理计划任务: crontab -e 3、删除/root/ 目录下的.configrc文件夹 4、删除/tmp目录下 的那个计划任务文件 5、这玩意是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/bin/perl /usr/bin/perl-bak,然后锁定目录chattr +i /usr/bin #看自己情况操作 安全建议
病毒种类按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。所以大家一定要修改好强悍的root密码。网上有这个病毒更详细的分析报告,大家有兴趣可以去搜下。 |
| 本文出处: https://www.toutiao.com/a6911140163808805379/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|