2022年03月30日3:54分我开始写这个博客
起因是最近为了玩一些小测试,买了台服务器,然后给我的小徒弟用了。我猜测她电脑里本身就被人下木马了,所以自从她连上服务器之后怪事连连。
当然我不怪她,不知者无罪,另外我给服务器之后事情处理不好也是我自己的责任。只是大半夜被腾讯云搞醒实在是太不爽了。
之前最开始一天,我本身用这台2核4G的服务器装了台MySQL,但是装之后导入十五万条数据竟然3个小时都没导完,我就很奇怪,什么TMD数据你能给我导这么久的时间?
当时我一直在忙别的也没顾得上这事,过了几个小时偶然间看了眼服务器,好家伙,还没导完,我寻思可能服务器太差了?所以导入性能慢?但是再慢也不至于这种程度吧。
然后在linux上打top命令。
top
出现了众多类似kswapd0 占用分区的命令如下所示。
并且其中大量出现各种linux任务调度的命令,多如牛毛,多到我靠kill -9 我都懒得杀的情况,然后我猜到有问题了。就放在这里了。顺便观察下他们的想法。
再后来大概过了三四个小时,出现了一系列command名为类似kthreaddi 的任务。当时我没截图,查到这个名字觉得怪异直接百度了一下,发现是某个挖矿脚本而已。我就直接kill掉,然后再想看看他们都会上去干啥。
其实我也隐隐之中有一种期盼,看看果实能涨多大。
给木马弄全了,养蛊。看看谁比较牛批用的服务器资源最多。
之前在一个妇幼保健院写代码的过程中,我的服务器也中过比特币勒索病毒,我还兴冲冲地和病毒照了张相。
这次我隐隐期望看看这些病毒都想干嘛,我又懒得翻代码,服务器上也没我任何重要东西。
结果大半夜的腾讯云给我发来短信。
另外这种挖矿脚本类木马,其威胁远小于比特币病毒,除了麻烦之外并不难解决,所以我也没当回事。
em 大半夜被吵醒是真的不爽,看到短信直接重装系统了。
但是腾讯云也挺不是东西的,给我发违规提醒。大哥我不睡觉吗?大半夜3点又邮件又短信连翻轰炸。你就不能自己检测一下那是木马还是我自己运行的?明知道是木马直接关了就完了呗。我感觉在阿里云好像就没出现过这种问题啊。
原来这挖矿软件最后的出路就是个批处理请求其他人Redis默认端口号的程序。想不通这对你来说有啥好处?
这回也感谢你趁这个机会让我再次练习练习安全内容。以后我的测试环境请多多光临多多益善。
记录异常1。
top命令下,莫名出现大量Kworker/0之类的CPU占用率高的进程。
Kworker/0:0+events并不是木马的名字,而本身是linux正常的CPU处理,但关键点在于我这台服务器是一台近期并不活跃, 只有MySQL和Redis正在执行,且其中的MySQL和Redis都没有使用任何语句,所以不应该出现十几个kworker内容。 所以我当时很清楚这肯定是木马搞的鬼。 可以通过如下命令,回溯CPU最近10秒内被kworker浪费的资源。查到其中有异常command那必然中招了。
perf record -g -a sleep 10
记录异常2。
这次我猜测 木马是从我小徒弟电脑 通过SSH password 连接到服务器的原因是,她自己电脑本身就有问题,平常只开个IDEA,但是天天高CPU高内存的运行。windows电脑我也没办法。下图是她给我截图的。
只开了一个IDEA ,还只是练习DEMO的情况下,莫名CPU总跑到100,但是查进程,查内存,查任务调度还查不到太多内容,拿火绒倒是搜出来了一些木马,但是有些隐藏太深了我也没办法,只能日后等她再次重装系统了。可怜。
记录异常3。
top下莫名出现一个kswapd0名称的命令。并且占用CPU接近满额。不过内存没消耗多少,CPU占满。
你TM想不引起我的注意都难!
我想吐槽下你既然是个木马你名字能不能不要起的这么随意,虽然长的像kworker或kthreaddd但是偏差也太大了,而且这名我一百度直接就查到你是木马了。你连点伪装都没有你是不是瞧不起我啊?
经过查询是XMRig编译的Linux平台门罗币挖矿木马了。从linux的cron任务调度上可以看到好多/root下和/tmp下我不认识的任务调度,并且清一色不打日志写着 >/dev/null 。
在网上看了下分析他们的启动脚本
这shell也就平平无奇嘛,就是具体这个kswapd0文件被加密了。
那没事了好滴很。
总结一下需要做的事。
- 赶紧改密码。
- 检查cron里是不是出现大量不归你设置的。查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。
- top看下最近哪些耗费最多,尤其worker之类的,另外有没有你不认识的。
- 使用last命令查看下服务器近期登录的账户记录,确认是否有 狗IP 登录过机器:
- less /var/log/secure|grep 'Accepted'命令,查看是否有 狗IP 成功登录机器;
- 检查系统所用的管理端口(SSH、FTP、MySQL、Redis 等)是否为默认端口,这些默认端口往往被容易自动化的工具进行爆破成功。
- 编辑/etc/ssh/sshd_config文件中的 Port 22,将22修改为非默认端口,修改之后需要重启 ssh 服务。
- 运行/etc/init.d/sshd restart(CentOS)或 /etc/init.d/ssh restart(Debian / Ubuntu)命令重启使配置生效。
- 修改 FTP、MySQL、Redis 等的程序配置文件的默认监听端口21、3306、6379为其他端口。
- 限制远程登录的 IP,编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制 IP。
- 检查/etc/passwd文件,看是否有非授权帐户登录:
- 使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户名。
- 运行netstat -antp,查看服务器是否有未被授权的端口被监听,查看下对应的 pid。若发现有非授权进程,可运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的 pid 号),查看下 pid 所对应的进程文件路径。
- 使用chkconfig –list和cat /etc/rc.local命令,查看开机启动项中是否有异常的启动服务。如发现有恶意进程,可使用chkconfig 服务名 off命令关闭,同时检查/etc/rc.local中是否有异常项目,如有请注释掉。
- 使用非 root 帐户运行,可以保障在应用程序被攻陷后,攻击者无法立即远程控制服务器,减少攻击损失。
- 运行chown -R apache:apache /var/www/xxxx、chmod -R 750 file1.txt命令配置网站访问权限。设置网站目录权限为750,750是 centos 用户对目录拥有读写执行的权限,设置后,centos 用户可以在任何目录下创建文件,用户组有有读执行权限,这样才能进入目录,其它用户没有任何权限。
如若转载,请注明出处:https://www.hanjifoods.com/846.html