LOGO

记一次云服务器被当肉鸡的处理过程

文章
林里克斯
378字数
Linux,安全

记一次云服务器被当肉鸡的处理过程

环境:CentOS 7.7.1908

服务器没跑什么,用来做实验用的,突然操作起来很卡,一看资源使用情况吓一跳,跑满了

记一次云服务器被当肉鸡的处理过程

看这资源被抢占的

1 分钟负载 12.82 
5 分钟负载 12.60 
15 分钟负载 13.61
#这可能是我这台服务器最忙的时候

知道了这三个进程 ID 后面的事情就好做了

1.首先看他在干什么

$ cd /proc/4447/
$ ls -ltr
total 0
···
lrwxrwxrwx  1 root root 0 Nov 12 21:01 exe -> /etc/svcupdate
-r--------  1 root root 0 Nov 12 21:01 environ
lrwxrwxrwx  1 root root 0 Nov 12 21:01 cwd -> /etc
···
#主要看这 2 个,做了个软连

2.直接删肯定是删不掉

$ rm -rf /etc/svcupdate
rm: cannot remove ‘/etc/svcupdate’: Operation not permitted
$ chattr -i /etc/svcupdate
$ rm -rf /etc/svcupdate
#删掉之后再 kill 掉
$ kill -9 7396

记一次云服务器被当肉鸡的处理过程

清掉一个后资源使用情况下来了,但是负载还是比较高,按相同步骤将 svcworkmanagerpnscan 清掉

记一次云服务器被当肉鸡的处理过程

3.进程都干掉了,但是资源负载还是有点高

4.看看 bash 还在干什么

$ cd /proc/64435
$ ls -la
total 0
···
lrwxrwxrwx   1 root root 0 Nov 12 20:44 cwd -> /tmp/.ice-unix/...
-r--------   1 root root 0 Nov 12 21:13 environ
lrwxrwxrwx   1 root root 0 Nov 12 20:44 exe -> /usr/bin/bash
···
#主要看他的工作路径

5.看了下进程打开的文件句柄数

$ lsof | wc -l
266084
$ ulimit -H -n
65535
#我这小服务器被撑爆了

6.看看目录都有些什么文件

$ ls -la
total 1648
drwxrwxrwt.  8 root root    4096 Nov 12 21:13 .
dr-xr-xr-x. 20 root root    4096 Oct 30 20:43 ..
-rw-r--r--   1 root root      92 Nov  5 14:02 backup.db
-rw-r--r--   1 root root     251 Nov  6 06:15 dump.rdb
drwxrwxrwt.  2 root root    4096 Sep 14  2017 .font-unix
drwxrwxrwx   3 root root    4096 Oct 30 20:37 .ice-unix
drwxrwxrwt.  2 root root    4096 Sep 14  2017 .ICE-unix
-rw-r--r--   1 root root       2 Oct 30 21:00 kdevtmpfsi
-rw-r--r--   1 root root   55664 Nov  5 14:01 red2.so
-rw-r--r--   1 root root       2 Oct 30 21:00 redis2
drwxrwxrwt.  2 root root    4096 Sep 14  2017 .Test-unix
drwxrwxrwt.  2 root root    4096 Sep 14  2017 .X11-unix
drwxrwxrwt.  2 root root    4096 Sep 14  2017 .XIM-unix
-rw-r--r--   1 root root 1578199 Nov  6 04:42 xm3.tgz

$ cd .ice-unix
$ ls -la | wc -l
104446
#十几万的文件。。。直接干掉
$ rm -rf /tmp/.ice-unix/
#确认下 tmp 全是这个程序搞出来,全部清掉就ok了

7.都干掉后

记一次云服务器被当肉鸡的处理过程

负载已经下来了,等等 5 分钟和 15 分钟的负载也会下来

$ lsof | wc -l
3292
#打开的句柄数也只有 3292 了

8.查看定时任务,看看有没有留后门

$ crontab -l
no crontab for root
#有的话清一下,我这里没有

9.总结

这个挖矿程序比较好清除,没有遇到给你篡改命令,杀也杀不掉这种厉害的木马算是好的了

  • pnscan 这个是 redis 带来的病毒,redis 最好设置一下密码。建议不暴露到公网,最好监听 127.0.0.1

Over~

版权协议须知!

本篇文章来源于 Uambiguous ,如本文章侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意

1609 0 2020-11-12


分享:
上一篇 下一篇
记一次服务器异常关机磁盘只读问题

阅读全文
Zabbix 使用 ODBC 监控 MySQL

阅读全文
删除 kafka topic 数据报错 is marked for deletion 解决方法

阅读全文
Ubuntu 文件系统 Read-only File System 解决

阅读全文
icon_mrgreen.gificon_neutral.gificon_twisted.gificon_arrow.gificon_eek.gificon_smile.gificon_confused.gificon_cool.gificon_evil.gificon_biggrin.gificon_idea.gificon_redface.gificon_razz.gificon_rolleyes.gificon_wink.gificon_cry.gificon_surprised.gificon_lol.gificon_mad.gificon_sad.gificon_exclaim.gificon_question.gif
博主卡片
林里克斯 博主大人
一个致力于Linux的运维平台
运维时间
搭建这个平台,只为分享及记载自己所遇之事和难题。

现在时间 2025-01-18

今日天气
随机推荐
11-02 连接 Memcached 并使用
01-02 Redis安装及集群安装
01-18 OpenStack搭建之创建实例(六)
02-09 linux下文件夹的结构说明及用途介绍
12-04 Linux 之 init 命令详解
08-10 常见的 Redis 简单面试题(一)
站点统计
  • 文章总数:241篇
  • 分类总数:29个
  • 评论总数:14条
  • 本站总访问量 365531 次

@svmuvwpuqi 真棒!

@smdxydrauu 博主太厉害了!

@xiaozi 最后的分享的镜像下载地址打不开 服务器没有开机吗?

@yuanyuan 为什么我的4b安装centos7.9 插上tf卡 显示不兼...

@Li 用Win32DiskImager烧录前少写了一步,下载的....

@奥奥

@Wong arrhenius 牛比

@MakerFace 厉害了!

@TongSir 老哥 更新下我的友链链接 https://blog.ton...