场景前几天建立了frp的接入通道,用于在外网上接入自己内部网的一个集群。 一开始没有任何问题。 但是,从昨天开始,群集的某些组件无法启动或失去连接。 而且,主机列表的心跳信息是很久以前的事情了,我还以为服务器挂了,稍微看了一下卡片,觉得服务生效了,内存和磁盘都满了,就看了一下。
去/usr/zrdtd下看看,没有得到top。 想着是不是搞错删除了,从其他机器来了一个scp。 但是,其他机器也没有,所以只能先安装htop看看情况。
尝试安装yum-yinstallepel-release yum-yinstallhtop时,发现处理器已满:
占有的过程是top,但结实的铃铛没有top。 总之,请重新启动后再说。 重新启动之前,scp从已知良好的计算机发送了top命令。
即使在重新启动后尝试使用top命令,依然无法使用。 在浏览/usr/zrdtd之前,来自scp的top已经不在了,被删除了。 到此为止我意识到我中毒了。 这个top肯定不是别的top,而是用病毒伪装的。 接下来是排毒的过程。
故障诊断首先尝试失败并降低流程。 无效。 刚结束时重新启动。 那个可能有定时任务的重新启动。
查看计划任务:
果然,top就藏在这里。 停止计时器任务,然后删除/lib32下的top,kill进程。
再次发现htop、cpu正常了,过了一段时间依然正常
检查启动项目,发现最后一行增加了,删除这一行。
沿着路径看,在同一时间添加了几个文件。
确保已知良好的计算机上没有这些文件,将这些文件下载到windows,然后在记事本中打开并直接报告病毒。 因此取消操作限制,全部删除
检查定时任务,发现有没有可以做的东西,有pwnrig的任务,不知道是什么,就关掉它
重启
重启后一切正常了。
主机心跳信号也返回,组件现在也可以正常启动:
在分析完几台机器后,因为没有遇到过在百度谷歌上伪装top命令的现象,所以百度点击关键文字“pwnrig”,发现是开采病毒:
与文章介绍的不同,这次遇到的是在开机启动时删除top命令,用病毒程序伪装成top,在发挥干扰作用的同时阻止cup信息的显示。 的现象和影响是top命令已满CPU,服务器无法正常运行。
总结这个问题的根本原因,还是因为没有很好的安全控制,为了偷懒而对暴露在公共网络的端口没有进行IP认证,以及为了内部网的服务器设置ssh密码过于简单,引起了这次的问题因此,对于公共端口,必须进行限制和强有力的验证,将被攻击的可能性抑制在最小限度,另外,对于常用端口,通过更换为其他端口,可以减少被清除的概率,减少中毒风险。