? 系統環境:CentOS Linux release 7.6.1810 (AltArch)
CPU架構:ARM
最近發現生產服務器CPU占用過高但是查看行程卻沒有任何過高的行程,最高也才是1點多,而且系統經常收到root用戶發送的郵件

?
所以有理由是懷疑中了挖礦病毒,查看網路連接資訊(命令:netstat -napt)后發現一條疑似礦池的連接記錄
?
然后去查找這個IP地址發現是M國的一個地址,去到某服安全中心查看這個IP果然是礦池地址無疑

?
?
結果某安的威脅中心查出來的結果也是一樣的

?
顯示結果跟網路連接中的資訊是一樣的,這下確定無疑了
首先根據root用戶發送給系統的郵件內容的路徑去查看檔案,
cat /etc/ld.so.preload
發現內容是/usr/local/lib/libprocesshider.so,是linux系統的一個鏈接庫,在這個檔案里面寫下的地址系統在運行程式時會自動去這些個目錄里面找需要的動態庫檔案,先洗掉試一下
rm /etc/ld.so.preload
發現無法洗掉,查找資料后得知Linux系統還有一個叫檔案鎖定保護的命令,具體引數如下:

使用chattr命令解除鎖定然后洗掉
chattr -i /etc/ld.so.preload
rm -rf /etc/ld.so.preload
然后再對/usr/local/lib/libprocesshider.so進行操作,直接一步到位,解除鎖定,然后洗掉
chattr -i /usr/local/lib/libprocesshider.so
rm -rf /usr/local/lib/libprocesshider.so
執行成功,繼續下一步,查看定時任務,并清理,查詢cron.d、cron.hourly、crontab目錄或檔案的例外
lockr -i /etc/cron.d/phps
rm -rf /etc/cron.d/phps
lockr -i /sbin/httpss
rm -rf /sbin/httpss
查看/etc/crontab檔案內容,/etc/crontab是linux系統定時任務組態檔所在,用vim編輯器洗掉最后3行,最后3行就是病毒鏈接所在,還是一樣,不管有沒有,先解除鎖定,再修改
chattr -i /etc/crontab
vim /etc/crontab
查看定時任務并修改
crontab -l
crontab -e
回顯提示crontab: error renaming /var/spool/cron/#tmp.localhost.localdomain.XXXXPL0tU3 to /var/spool/cron/root
rename: 不允許的操作
crontab: edits left in /tmp/crontab.IFed5j,說明/var/spool/cron/root,/tmp/crontab.IFed5j這兩個目錄檔案都有問題,跟定時任務是相關聯的,先清除這幾個檔案,防止上鎖,先解鎖,再洗掉
chattr -ia /var/spool/cron/root
rm -rf /var/spool/cron/root
chattr -ia /tmp/crontab.IFed5j
rm -rf /tmp/crontab.IFed5j
進入到/tmp目錄下查看是否還有其他的快取檔案,如果有,一并洗掉(crontab -e所產生)
# 服務清理及自啟動清理,查看/etc/rc.d/init.d/目錄,/etc/rc.d/rc.local檔案,/lib/systemd/system檔案
cd /etc/rc.d/init.d/ #無例外
cat /etc/rc.d/rc.local #無例外
cd /lib/systemd/system #發現例外服務檔案
vim pwnriglhttps.service
systemctl stop pwnriglhttps.service
systemctl disable pwnriglhttps.service
洗掉服務
rm -rf pwnriglhttps.service
查看系統hosts決議檔案有無例外,如有例外用vim編輯器修改
cat /etc/hosts
vim /etc/hosts
清理各目錄下的病毒檔案
rm -rf /usr/bin/.sh
rm -rf /bin/.sh
lockr -i /bin/.funzip
rm -rf /bin/.funzip
查看/etc/profile檔案
cat /etc/profile

?
回顯顯示最后4行檔案有問題,用vim洗掉
vim /etc/profile
發現目錄/etc/profile.d/下出現例外檔案:php.sh、supervisor.sh
查看內容
cd /etc/profile.d/
cat php.sh
cat supervisor.sh
查看supervisor.sh顯示/etc/.supervisor/supervisord.conf
洗掉洗掉php.sh,supervisor.sh,/etc/.supervisor/supervisord.conf
lockr -i php.sh supervisor.sh
rm -rf php.sh supervisor.sh
lockr -i /etc/.supervisor/supervisord.conf
rm -rf /etc/.supervisor/supervisord.conf
最后洗掉/etc/.sh /usr/bin/.sh
chattr -ia /etc/.sh /usr/bin/.sh
rm -rf /etc/.sh /usr/bin/.sh
最后清除郵件并重啟
echo "d *" |mail -N
reboot
開機后查看網路連接資訊發現剛開始的那條IP已經沒有了,說明殘留的病毒檔案已經清理完成
為了再次防止這個礦池來搞事情,最好在出口區域的安全設備的對該地址及域名相關進行封禁
————本文為原創,轉載請稟明出處
?
本文來自博客園,作者:許懷安,尊重原創,轉載請注明原文鏈接:https://www.cnblogs.com/keington/p/15233067.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300128.html
標籤:其他

