minerd和kworkerds感染

检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理)
1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟,


 
2、果断ps -ef | grep ‘minerd’ 查看pid,
3、使用kill -9  程序的pid 杀死掉,
4、到 cd  /tmp/下查看是否存有临时文件,如果有rm -rf 删除,没有就算了
5、crontab -l 查看是否有定时,有的话到cd /etc/crontab  查看是否有陌生的定时任务,如果有也是直接删除,
6、然后top 再查看,成功了,然后查阅了资料,说redis 漏洞,果断修改了ssh密码,修改redis的端口,修改了登录数据库密码,一切看起来就是这么简单

然而我把一切想的太过简单,周六周日开心出去泡妞,又收到阿里云同样的通知,无奈再深恨的bug也不能阻挡我缓解压力的事件,周一早上打开阿里云账号,我靠,发生了什么,
xx.xx.xxx.xx(ixxxxx...)出现了可疑安全事件:Linux异常文件下载 ,建议您立即登录云盾-态势感知控制台查看详情和处理。


于是登录服务器查看。我嘞靠,输入一条命令ls 反应比乌龟还慢,然后每条命令反应都在3秒才能出结果,靠,3秒男人,我可受不了,于是从花了一天时间才解决掉,废话够多了,看下面,
1、命令 top -i 查看,我去,满满的cpu

2、于是 top -b ,呀有毒,居然没有占用大的cup资源

3、于是又 使用crontab -l 查看,赤裸裸定时任务,这又是什么鬼,矿机不是解决了吗?这那来的任务,
  
4、cd /tmp/ 下,三个莫名其妙出现的文件,果断 rm -rf 文件名删除

 5、ls -al 看下,果然还有隐藏文件,通通删除

6、去cd /etc/crontab ,删除定时任务,然后top -i,得到如下,cup依然张立在哪里,懵逼
 
7、top -b 多了一个python,干啥的不知道,查看删除进程python


8、最后去查看日志,如下顺着这个日志一步一步走下去,

9、cd  /etc,下rm -rf ld.so.preload

10、cd /usr/local/lib下 rm -rf libjdk.so

11、再去cd /etc/crontab ,查看有没有定时任务,有删除,
12、去cd /tmp下,有也统统删除,
13、top -b 居然有3个资源kworkerrds占据cpu 33%,终于找到你,尼玛,还好没放弃,由于当时找到目标,太过激动没截图,因为已经下午5点了,花了大量时间找原因,看日志,查资料,
14、于是果断ps -ef | grep kworkerrds,赤裸裸就是你

15、kill -9 pid ,history -c清除记录(下面解释)

16,top ,终于下来了,心累呀

17、之前花了大量时间查看原因,原来是黑客通过在我日志里面留下了程序,我之前清除了minerd,然后又通过日志里面的程序进行了一个脚本任务,通过这个脚本获取操作记录,(为什么history -c清除记录),然后再次侵入我的服务器,现在是21:00,心累,
18、对了,还有如下操作,这才完美收官。cd /var/log

19、可疑的日志通通删除,

20、记得修改所有密码,记得history -c
--------------------- 
作者:逐浪青舟 
来源:CSDN 
原文:https://blog.csdn.net/lang363/article/details/82354830 
版权声明:本文为博主原创文章,转载请附上博文链接!

你可能感兴趣的:(minerd和kworkerds感染)