參考:https://blog.csdn.net/qq_59201520/article/details/129816447
接上篇《挖礦病毒消滅記》傳送門
專案場景:
叮咚,一條簡訊打破了安靜平和的氛圍。
啊?咋又被挖礦了,現在在外面,回頭要趕緊把程序關了
問題描述
回到家趕緊開啟電腦輸入命令列top,果然不出所料cpu飆升到200%,找到pid,然後kill -9 pid號
過程分析:
提示:這裡填寫問題的分析:
首先按照之前的經驗我先全域性搜尋了xmrig,find / -name "*xmrig*"然而一無所獲。
接著我去我的crontab定時任務看看,也沒有啥異常啊
再看了下阿里雲告訴我的
看了下syncnet檔案,裡面全是二進位制檔案,感覺看不出啥,於是我在想是不是每次發專案時候拉了遠端的jdk17,那裡面有病毒?抱著懷疑的想法週一在公司搞了一上午沒有太大進展,透過clamav也沒查出來啥,我甚至還擬定了伺服器維護計劃,如下
- 換我伺服器的暴露埠號
- 使用本地image
- 換redis密碼
- 禁用root登入
- clamav安裝
- 木馬查殺
下午時候先看看別的報警吧,有多少要修復的給自己心裡有點數。
看了下“可疑”這個tab,出現了一個可疑下載,再細緻一看,
怎麼是我的專案java -jar xxx.jar裡面觸發的,這個意思是我專案一啟動就觸發了這個下載,這下載的是啥,追到容器裡,根據路徑開啟這個sh指令碼
是下載的一個sh指令碼,並重新命名成.00.sh放到了/tmp下,跟著去看下這裡面寫的什麼
我去,這特麼不就是阿里報給我的門羅幣麼,感覺找到問題根源了~
再回看下其他兩個sh指令碼里寫的啥
說白了就是給這個挖礦指令碼鋪路的,好了根源就是這些指令碼,那為啥我的伺服器會有這些sh指令碼呢,哪裡來的呢,我平時也沒下什麼東西到伺服器上啊。
看了下這個路徑/home/sadmin/jenkins/logs/application/xxx-core/gluesource/很顯然這路徑跟xxl跑不了干係,對比了下我配置xxl的logPath路徑,咦,發現這個多了個gluesource這個資料夾,攻擊指令碼就是在這個資料夾裡頭的,
解決方案:
於是我百度了下“gluesource病毒”找到這位老哥的文章傳送門,哦原來是xxl有個漏洞,駭客可能透過這個漏洞攻擊了我xxl伺服器,看老哥的建議說換個埠號和指定ip訪問,看了下阿里雲那果然之前設定的是0.0.0.0,修改成我的伺服器ip,重啟下,再進容器到/home/sadmin/jenkins/logs/application/xxx-core/gluesource/裡面沒有執行指令碼了,emmm就先放兩天觀察觀察,特記錄下