挖礦病毒消滅記二

蜗牛使劲冲發表於2024-05-20

參考:https://blog.csdn.net/qq_59201520/article/details/129816447
接上篇《挖礦病毒消滅記》傳送門

專案場景:

叮咚,一條簡訊打破了安靜平和的氛圍。
image

啊?咋又被挖礦了,現在在外面,回頭要趕緊把程序關了


問題描述

回到家趕緊開啟電腦輸入命令列top,果然不出所料cpu飆升到200%,找到pid,然後kill -9 pid號


過程分析:

提示:這裡填寫問題的分析:

首先按照之前的經驗我先全域性搜尋了xmrig,find / -name "*xmrig*"然而一無所獲。
接著我去我的crontab定時任務看看,也沒有啥異常啊
再看了下阿里雲告訴我的
image
看了下syncnet檔案,裡面全是二進位制檔案,感覺看不出啥,於是我在想是不是每次發專案時候拉了遠端的jdk17,那裡面有病毒?抱著懷疑的想法週一在公司搞了一上午沒有太大進展,透過clamav也沒查出來啥,我甚至還擬定了伺服器維護計劃,如下

  1. 換我伺服器的暴露埠號
  2. 使用本地image
  3. 換redis密碼
  4. 禁用root登入
  5. clamav安裝
  6. 木馬查殺
    下午時候先看看別的報警吧,有多少要修復的給自己心裡有點數。
    看了下“可疑”這個tab,出現了一個可疑下載,再細緻一看,
    image

怎麼是我的專案java -jar xxx.jar裡面觸發的,這個意思是我專案一啟動就觸發了這個下載,這下載的是啥,追到容器裡,根據路徑開啟這個sh指令碼
image

是下載的一個sh指令碼,並重新命名成.00.sh放到了/tmp下,跟著去看下這裡面寫的什麼
image
我去,這特麼不就是阿里報給我的門羅幣麼,感覺找到問題根源了~
再回看下其他兩個sh指令碼里寫的啥
image
說白了就是給這個挖礦指令碼鋪路的,好了根源就是這些指令碼,那為啥我的伺服器會有這些sh指令碼呢,哪裡來的呢,我平時也沒下什麼東西到伺服器上啊。
看了下這個路徑/home/sadmin/jenkins/logs/application/xxx-core/gluesource/很顯然這路徑跟xxl跑不了干係,對比了下我配置xxl的logPath路徑,咦,發現這個多了個gluesource這個資料夾,攻擊指令碼就是在這個資料夾裡頭的,


解決方案:

於是我百度了下“gluesource病毒”找到這位老哥的文章傳送門,哦原來是xxl有個漏洞,駭客可能透過這個漏洞攻擊了我xxl伺服器,看老哥的建議說換個埠號和指定ip訪問,看了下阿里雲那果然之前設定的是0.0.0.0,修改成我的伺服器ip,重啟下,再進容器到/home/sadmin/jenkins/logs/application/xxx-core/gluesource/裡面沒有執行指令碼了,emmm就先放兩天觀察觀察,特記錄下

相關文章