服务器被挖矿程序抓成肉鸡了,大神们,求支招
Tofloor
poster avatar
pow
deepin
2018-01-03 18:18
Author
公司的几台linux服务器最近发现cpu进程占用非常高,经过查询,发现是一个名叫java的进程。实际本机并未安装java的相关程序。可能是别的东西伪装成了java的相关文件。在防火墙上查看,发现服务器一直持续的向外发送数据包,统一特点是均链接对方的80端口。本地文件搜索查找,定位出了risktool.linux.lv这样的文件。google查询得知,是一种挖矿软件植入的病毒。换句话说,我们的服务器已经成了肉鸡了。
大神们,有没有人遇到过类似的情况,或者解决过,请给支个招,怎么才能彻底查杀清楚掉类似的程序文件。或者有比较好的工具,欢迎推荐。

Reply Favorite View the author
All Replies
2 / 3
To page
avatar
pow
deepin
2018-01-03 23:09
#21
https://bbs.deepin.org/post/151059
关机,把硬盘挂在另一个干净的机器上再清除啊,病毒还在运行的话,自然是有防删除措施的。 ...

虚拟化啊,老大。谁知道调用的是哪块盘。实在不行,只能请杀毒软件厂商出马了。
Reply View the author
avatar
duanyao
deepin
2018-01-03 23:10
#22
https://bbs.deepin.org/post/151059
再补充一点。
rootv2.sh及其他相关文件删除后,rc.local文件也去掉了其中远程下载的计划。但刚刚重启服务 ...

这表明没有成功清除,rc.local 仍然处于感染状态,因为你封了网,病毒在反复重试。
Reply View the author
avatar
duanyao
deepin
2018-01-03 23:11
#23
https://bbs.deepin.org/post/151059
虚拟化啊,老大。谁知道调用的是哪块盘。实在不行,只能请杀毒软件厂商出马了。 ...

虚拟硬盘可以挂到另一台虚拟机里啊。
Reply View the author
avatar
卷毛龙
deepin
2018-01-03 23:47
#24
https://bbs.deepin.org/post/151059
1、在防火墙上查看该服务器IP上的链接数和链接详情;(一般为指向某个外网IP的80端口)
2、查cpu进程(to ...

非常感谢您的回复。。。
Reply View the author
avatar
pow
deepin
2018-01-03 23:47
#25
https://bbs.deepin.org/post/151059
非常感谢您的回复。。。

你可以参考duanyao的回复。他的回复对我问题解决的过程很有帮助。
Reply View the author
avatar
pow
deepin
2018-01-03 23:50
#26
https://bbs.deepin.org/post/151059
虚拟硬盘可以挂到另一台虚拟机里啊。

已搞定!问题找到了,不是rc.local的问题。是crontab下有计划任务没清理干净。
现在正在oracle官网找weblogic的漏洞补丁
但愿打完补丁后一切完美如初。
Reply View the author
avatar
卷毛龙
deepin
2018-01-04 00:41
#27
https://bbs.deepin.org/post/151059
已搞定!问题找到了,不是rc.local的问题。是crontab下有计划任务没清理干净。
现在正在oracle官网找webl ...

好的,你的crontab任务是root帐号下面的吗?
Reply View the author
avatar
duanyao
deepin
2018-01-04 00:43
#28
https://bbs.deepin.org/post/151059
已搞定!问题找到了,不是rc.local的问题。是crontab下有计划任务没清理干净。
现在正在oracle官网找webl ...

你的 weblogic 是用 root 账号运行的吧,不然它的漏洞应该不会导致系统文件被修改。应该改为普通用户。

http://onlineappsdba.com/index.p ... nux-on-port-80-443/
Reply View the author
avatar
dameng
deepin
2018-01-04 01:51
#29
https://bbs.deepin.org/post/151059
没有。这个工具跟我们目前遇到的问题关联度不大呀。

因为之前我遇到过这个问题,原因是redis的漏洞导致被当成挖矿肉鸡。所以多嘴问了一句,没有的话最好,哈哈
Reply View the author
avatar
azs
deepin
2018-01-04 04:19
#30
备份  重装  热切换   这台机器已经不可信了
Reply View the author
avatar
xiaozijiu
deepin
2018-01-04 05:04
#31
45.77.106.29这IP美国的的,还在45.77.106.29/rootv2.sh下了SHELL脚本。看了下不难懂,作为linux运维这问题很容易解决。我下了看这脚本主要就是下了个叫sourplum的文件并改为可执行了。说实在的应该要看你一开始是从哪个渠道怎么中招才是最难的。要解决这问题的就是先封IP,SOURPLUM文件还需要反编译看是执行了什么再进一步修复。兄弟不会是内部出细作了吧~能够被在服务器上第一次运行rootv2.sh这脚本的人就是凶手
Reply View the author
avatar
duanyao
deepin
2018-01-04 06:22
#32
https://bbs.deepin.org/post/151059
45.77.106.29这IP美国的的,还在45.77.106.29/rootv2.sh下了SHELL脚本。看了下不难懂,作为linux运维这问题 ...

楼主的另一个帖子提到了,是weblogic的漏洞造成的 ( https://bbs.deepin.org/post/151085 ),他们的weblogic是以root运行的也是个原因。
Reply View the author
avatar
nonamexz
deepin
2018-01-04 06:22
#33
虽然你已经解决了,我还是特意注册了一个帐号来回来这个问题。
处理步骤,以centos为例:
1、查看/etc/rc.local文件内容,将可疑项全部注释掉,然后用chattr +i /etc/rc.local,禁止文件被病毒修改。
2、以同样的文件查看crontab项
3、检查/etc/init.d/目录下的开机启动项,检查可疑项的内容都调用了哪些程序。然后删除可疑文件,然后用chattr +i /etc/init.d将整个目录禁止修改,防止开机后病毒再次启动。
4、综合前面3步的操作,找到所有的可疑文件,并删除。如遇不能删除的文件,可以先执行 chattr -i filename,取消文件的保护再删除。
5、检查/tmp  /boot 等目录,将可疑文件删除。
6、检查系统常用指令是否被替换,如ls,ps,top等,如被替换,想办法从同版本的系统中复制文件过来进行恢复。
7、在防火墙上配置规则,禁止服务器访问45.77.106.29。
8、重启服务器,再次验证进程中是否还有可疑进程,系统资源占用是否恢复正常。
9、如还有异常,再次进行检查,确保所有可疑文件已经被清除。

此类病毒一般是通过应用的漏洞进行侵入的,建议从这方面考虑系统的加固。
Reply View the author
avatar
卷毛龙
deepin
2018-01-04 16:18
#34
本帖最后由 leanhorse 于 2018-1-4 08:19 编辑
https://bbs.deepin.org/post/151059
虽然你已经解决了,我还是特意注册了一个帐号来回来这个问题。
处理步骤,以centos为例:
1、查看/etc/rc.lo ...

chattr +i 或者 +a 的确是个好东西,收了,谢谢。以前经常用 chmod,现在看来 chattr 控制的是更底层的直接内核调用的属性,更安全。
Reply View the author
avatar
卷毛龙
deepin
2018-01-04 16:33
#35
https://bbs.deepin.org/post/151059
因为之前我遇到过这个问题,原因是redis的漏洞导致被当成挖矿肉鸡。所以多嘴问了一句,没有的话最好,哈 ...

大神,请问是什么版本的 redis 有漏洞啊?我的机器里面布署了 redis ...
Reply View the author
avatar
pow
deepin
2018-01-04 16:58
#36
https://bbs.deepin.org/post/151059
好的,你的crontab任务是root帐号下面的吗?

是啊。权限很混乱的。
Reply View the author
avatar
pow
deepin
2018-01-04 17:00
#37
https://bbs.deepin.org/post/151059
你的 weblogic 是用 root 账号运行的吧,不然它的漏洞应该不会导致系统文件被修改。应该改为普通用户。

...

说实话,我们不负责业务,服务器出了问题也是硬找我们尝试解决问题的。本身他这个服务器的管理就不严谨。分权不够明晰。很多明显能看到的不规范的地方,最后也只能建议,至于说主管方听不听,改不改。我们决定不了呀
Reply View the author
avatar
pow
deepin
2018-01-04 17:01
#38
https://bbs.deepin.org/post/151059
因为之前我遇到过这个问题,原因是redis的漏洞导致被当成挖矿肉鸡。所以多嘴问了一句,没有的话最好,哈 ...

嗯。我们没有用这个工具。纯粹是weblogic在root用户下运行导致的原因。补丁已经修补。问题已解决。
Reply View the author
avatar
pow
deepin
2018-01-04 17:02
#39
https://bbs.deepin.org/post/151059
备份  重装  热切换   这台机器已经不可信了

只能做手术,不让判死刑。领导的原话,我们能怎么办
Reply View the author
avatar
pow
deepin
2018-01-04 17:04
#40
https://bbs.deepin.org/post/151059
45.77.106.29这IP美国的的,还在45.77.106.29/rootv2.sh下了SHELL脚本。看了下不难懂,作为linux运维这问题 ...

大概率是内部有人利用服务器在挖矿,搞瘫了服务器,导致业务受影响。我们就被抓来平问题。问题解决了,至于说抓不抓内鬼,怎么抓。我们连个屁都不敢放。
在某些系统里面工作,慎言慎行啊。
Reply View the author
2 / 3
To page