服务器中了挖矿病毒…
这次我没有分析病毒文件,纯查资料+经验杀
攻击日期为2021.5.30 00:40分左右
文章目录
0. 先改密码
passwd
1. 确认攻击路径
- ssh弱口令 密码abcABC123
- 互联网、内网蠕虫都有可能
2. 查看crontab
crontab -l
内容忘记了,就一行,执行了一个木马文件
crontab -e
编辑文件
或者
crontab -r
直接重置
3. top
top之后发现进程为8字节的十六进制
打印该进程
ps -ef | grep -E '[0-9a-f]{8}'
删掉
ps -ef | grep -E '[0-9a-f]{8}' | awk '{print $1}' | xargs kill -9
删完之后10s后又来了。。。
4. 查阅资料
4.1 /etc/ld.so.preload
Linux预加载恶意动态链接库型后门
root@entry:~# file /etc/ld.so.preload
/etc/ld.so.preload: ASCII text
root@entry:~# cat /etc/ld.so.preload
/usr/local/lib/libproc-2.8.so
/usr/local/lib/libEthosu-2.so
/usr/local/lib/libmysql-1.3.so
尝试删除
rm /etc/ld.so.preload
rm: 无法删除'/etc/ld.so.preload': 不允许的操作
怀疑属性被修改了
root@entry:~# lsattr /etc/ld.so.preload
----i---------e--- /etc/ld.so.preload
果然
root@entry:~# chattr /etc/ld.so.preload
再看
root@entry:~# lsattr /etc/ld.so.preload
----i---------e--- /etc/ld.so.preload
啊这 没用吗 这里卡了一会儿 怀疑chattr被篡改了
root@entry:~/.ssh# ls -lah /usr/bin | grep chat
-rwxr-xr-x 1 root root 0 5月 30 00:43 chattr
看来就是攻击时间点附近。
重新编译<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
