Centos被挖矿记录 - 管理猿 2018 年 10 月 10 日 |访问: 207 次

用户服务器中木马了,现象是产生大量的上传流量,用路由器直接禁掉上传就没管了(反正服务器能正常用)。
过了几天服务器磁盘空间用完了,部分服务无法启动(mysql,httpd),于是就找到我们了。
由于服务器是客户自行安装的,试了客服给的几个SSH密码都无效,于是让用户自行恢复下ROOT密码。
参考:

https://blog.csdn.net/cui1834515/article/details/77860113

用户突然来电话,密码设置无效,以为遇到小白了,让拍照,结果我也有点懵逼
QQ图片20181010171010.jpg
ROOT账号不存在,当时还不知道中奖了,以为只是磁盘满了,又让用户删除了部分备份文件,重置密码还是没效果,得,重建一个用户把

#useradd zm
#passwd zm 
#usermod -g root zm

重启,用zm倒是能ssh登陆了,终于发现中奖了,ROOT账户也被删除掉了,zm账户的权限不够,即使SU之后,又创建了一个root账户权限还是不够,用下面命令查找最高权限的账户,然后重置该账户的密码

cat /etc/passwd

QQ图片20181010171604.png
发现最高权限的账户是ap,也是有点懵逼,重置密码后登陆进去能够自由操作了,先删除一部分多余的数据,将服务启动起来,然后备份数据库到本地。
趁着备份的时间问下群友,得到的结果可能是被挖矿了,用工控机挖矿脑洞也是有点大,启动好了就来搞木马了
centos中奖无非就是自动启动,计划任务,环境变量等一开机都会加载的数据,挨个查询就行了。
先使用top命令查看耗用资源的进程
QQ图片20181010172016.png
发现几个比较诡异的进程(没看到过的都怀疑下),然后根据pid定位进程位置,懵逼,没有结果,在top看,刚才看到的pid进程号已经不存在了,有点手残就手速跟不上就继续查询下一个位置,环境变量

#cat /etc/profile
#cat /etc/bashrc

两个位置都没有异常,继续查启动脚本

#cat /etc/rc.local
#chkconfig --list

第一个没有发现异常,第二个启动服务终于找到不一样的地方了
QQ图片20181010172538.png

对比其他服务器,这两个服务是没有的,于是顺藤摸瓜,到/etc/init.d/下面查找这两个服务
QQ图片20181010172919.png
PID不断的变化也就有了解释了(勾上重点“/bin/kmqbcfozw”),继续查找计划任务crontab
QQ图片20181010173227.png

继续划重点(/lib/libudev.so.6)关键位置都查找完毕了,归纳几个问题的地方
第一个是开机自启中的chkconfig有两个自启服务,具体程序在/bin中,计划任务中有个定时执行的脚本“gcc.sh”。脚本直接关联的是lib中的程序(/lib/libudev.so.6),并具备自我复制功能,应该是木马主程序
接下来就是处理木马了
第一步删除主程序:

#chmod 0000 /lib/libudev.so && rm -rf /lib/libudev.so && chattr +i /lib/
#chmod 0000 /bin/kmqbcfozw && rm -rf /bin/kmqbcfozw
#chmod 0000 /usr/bin/hqjcakkoqh && rm -rf /usr/bin/hqjcakkoqh
#chmod 0000 /etc/init.d/hqjcakkoqh && rm -rf /etc/init.d/hqjcakkoqh
#chmod 0000 /etc/init.d/wzofcbqmk && rm -rf /etc/init.d/wzofcbqmk

QQ图片20181010174314.png

相关的自启服务已经不存在了。
继续删除计划任务的相关脚本

#chmod 0000 /etc/cron.hourly/gcc.sh && rm -rf /etc/cron.hourly/gcc.sh
#sed '/gcc.sh/d' /etc/crontab && chmod 0000 /etc/crontab && chattr +i /etc/crontab

删除完毕后使用"cat /etc/crontab"查看是否有残留,再看top中的异常进程pid会不会变化。
最后强化管理员密码强度,怀疑就是弱口令导致的一出狗血剧

标签:none

添加新评论