(立即修改掉密码删除一些后门ssh key内容)
一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。
那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743,通过 ll /proc/2743,我们看进程里啥玩意。看到了执行了 一个 /root/.configre/a/kswapd0 ,这个就太形迹可疑了,这完全是病毒程序呀,还在/root/.configrc/ 目录里。
我们查看下,这个查看下这个进程是否有对外连接端口,netstat -anltp|grep kswapd0,显示IP是的 45.9.148.117的
查询了一下,是一个荷兰的IP地址:
习惯的再看了下 计划任务,crontab -e,好家伙,计划任务里面也不少。tmp目录也有。
==, last,我们看下安全日志有无无异常
less /var/log/secure|grep 'Accepted'
查了一个ip,85.25.197.79 85.203.33.49 ,一个法国,一个德国的。应该都是代理啥的吧。
看来是被入侵无疑了,还用root ssh上来的。基本上的root密码太简单了,比如我这朋友设置的 密码就是 类似于 1q2w3e.. 类似这样的,这些扫描病毒常用字段都是有的,赶紧改了
病毒结构
病毒结构,我看到的是这样的 (经过网上查证,该病毒种类繁多,文件位置基本不一样)
/root/.configrc/*病毒所在目录/root/.ssh/病毒公钥/tmp/.X25-unix/.rsync/*病毒运行缓存文件/tmp/.X25-unix/dota3.tar.gz病毒压缩包/root/.configrc/a/kswapd0 病毒主程序==========病毒相关计划任务==========1 1 */2 * * /root/.configrc/a/upd>/dev/null 2>&1@reboot /root/.configrc/a/upd>/dev/null 2>&15 8 * * 0 /root/.configrc/b/sync>/dev/null 2>&1@reboot /root/.configrc/b/sync>/dev/null 2>&10 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1====================================
病毒处理1、先立即修改掉密码。删除一些后门ssh key内容。
2、直接kill掉2743进程,后续观察服务,然后 清理计划任务: crontab -e
kill -9 27433、删除/root/ 目录下的.configrc文件夹
rm -rf /root/.configrc/
4、删除/tmp目录下 的那个计划任务文件
5、这玩意是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/热心的鸭子/perl /usr/热心的鸭子/perl-bak,然后锁定目录chattr +i /usr/热心的鸭子 #看自己情况操作
安全建议 尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。及时修补系统和软件漏洞病毒种类按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。所以大家一定要修改好强悍的root密码。