公司伺服器被入侵植入挖礦軟體,如何追查?

9heyunanquan 發表於 2021-07-26

伺服器被入侵後,植入了挖礦程式。有過類似的操作經驗。

殺wnTKYg病毒分兩步,第一是找到它的來源,切斷入口,第二步,找到它的守護程式並殺死,然後再去殺死病毒程式,有的守護程式很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。

公司伺服器被入侵植入挖礦軟體,如何追查?

由於工作需要,我由一個專業java開發工程師,漸漸的也成為了不專業的運維工程師了。最近專案在做效能測試,發現CPU使用率異常,無人訪問時CPU也一直保持75%,然後在xShell上top了一下,發現wnTKYg這個程式CPU佔用率300%,

很明顯是病毒程式,下意識的把它kill了,但是一分鐘之後又自動重啟了,於是百度了一下,發現這個東西叫做挖礦工,簡單的說,就是別人用你的伺服器去做它自己的事,然後賺錢。

知道wnTKYg是什麼鬼之後,我不急著殺死它,先百度了一下它怎麼進來的,百度上關於它的帖子特別少,說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步就是對redis進行了配置上的修改:

① 把預設的埠號6379給改了

② 把密碼改的更復雜了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

修改redis是防止這熊孩子再進來,第二步就是把已經入駐的木馬殺死,它不僅使用我的伺服器,它還登入我的賬號,所以檢視了 /root/.ssh 下的檔案,在/root/.ssh/known_hosts中發現了我不認識的IP,絕對有問題,於是乾脆把 /root/.ssh 下的檔案都刪了,省事了。

第三步就是要找到所有關於病毒的檔案, 執行命令 find / -name wnTKYg*,只有/tmp下有這個檔案,刪了,然後就去kill wnTKYg程式,你以為這樣它就可以死了嗎?Never!一分鐘之後它又復活了,我猜測一定有守護程式在喚醒它,於是我再kill 然後top觀察進行變化,終於被我發現了,有一個/tmp/ddg.1007程式很可疑,於是百度這個東東驗證了一下,果然,就是挖礦工的守護程式,用ps -aux|grep ddg 命令把所有ddg程式找出來殺掉,並刪除/tmp目錄下的所有的對應ddg檔案,至此,病毒被解決了,異地登入,安全掃描什麼的也被我解決了。

很多哥們也遇到了這個問題,加了我好友,並且描述了他們的一些情況,我會把他們的改進和補充也寫在此貼裡,有的哥們會有個定時任務下載這些東西,目錄 /var/spool/cron,記得留意這個資料夾,如果遇到,就把它幹掉。

安全問題依然嚴峻,於是找了一家安全公司–安全狗諮詢了下相關的安全業務,發現蠻貴的,都是萬開頭的,而且我也不知道他們水平怎麼樣,於是把我遇到的問題跟業務員說了,看看他們怎麼解決,怎麼收費,談判了一下午,定價3500,沒的再低了,哎,還是我好,又為公司省了3500。

因為發了這篇帖子,一位和我情況差不多的網友也提供了一種解決方案,我把他的也貼進來與大家分享謝謝這位網友:首先關閉挖礦的伺服器訪問 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

1

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然後刪除yam 檔案 用find / -name yam查詢yam 檔案 之後 找到wnTKYg 所在目錄 取消掉其許可權 並刪除 然後再取消掉 tmp 的許可權並刪除 之後 pkill wnTKYg就OK了。

文章資料來源:香港伺服器

本作品採用《CC 協議》,轉載必須註明作者和本文連結