Linux挖矿木马病毒去除

事发

今天一同事发现其维护的服务器中了挖矿病毒,且删除不掉。于是上去进行了查看,发现:

  • 木马/病毒创建了一个计划任务

  • 木马/病毒将文件下载至/tmp/目录下并执行

  • 脚本root.sh是被执行的,其中定义了二个函数并每隔600秒循环执行

其中的 kills 函数操作是删除之前下载的文件,并结束相关进程;downloadyam函数操作是重新从计划任务中的网站中下载新的木马文件并运行。

检查/分析

  • 由于脚本定义,系统进程中存在大量的脚本和sleep进程
ps -ef | grep -v "\[*\]"

  • 系统过段时间会出现有SSHD进程连接外部不明主机情况,但系统登陆中不存在,应为其使用SFTP将计算好的结果传输给中转机

  • 使用pstree查看,并无其它可疑进程

处理

  • 更改SSHD端口,并修改密码
  • 去除计划任务

  • 同时删除文件并结束相关进程
cd /tmp/
rm -rf * ; killall bashd sleep Xagent5 bash curl
  • 重启系统
  • 过数分钟后再进行查看,木马病毒依然存在,重新出现

  • 查看得知,其由系统重新执行起来,怀疑做成服务,查看并无异常
systemctl list-unit-files | grep enabled

  • 查检计划任务,发现还有另一个计划任务存在,故清除其,并重新执行上面的清除步骤

  • 等待十分钟后仍未再次出现,手动清除成功。

事后

  • 发现其未开启防火墙,机器上部署有空密码的redis服务,故将防火墙开启,并添加规则
  • 检查系统中无其它新增用户,root用户下也无其它公钥授权文件

至此清除结束。

发表评论

error: Content is protected !!