ubuntu主机被挖矿——排查与应急响应

昨天晚上想搞个自动发短信提醒的平台，偶然间看到腾讯云给我发的站内信

我直接好家伙，半个月了，我才发现，赶快去看了看我的控制台cpu负载

 

直呼好家伙，这显然是被挖矿了啊，挖了半个月了，让你再挖一晚上吧，于是第二天早上开始了应急响应。

首先查看腾讯云监控的信息，

 

定期登录看看我？伤害不大，侮辱性极强

 

cat ~/.bash_history

看到这里想到之前做一个团队服务器时潦草建了个测试账户

看了看bashhistory， 

嘶，当时雀实够潦草，顺带看了一下，找不到这位黑客老哥的操作记录，清得很干净

顺手也查了last lastb一堆尝试登录的。

查看一下cpu进程

top

 

第一个进程离谱，这个名字也迷惑性很强，

 

好像没问题，但是作为一个协议，长期占用超过85%的cpu，那必然有问题

不急着删他进程，追踪进去看一眼目录

 

下意识看了一下/tmp目录

 

emmmm

满满的

google一下，dhcpd雀实是一个挖矿病毒隐藏的名字，而/tmp下的.ICE-unix也是挖矿病毒，这个深信服的师傅曾经遇到过

https://cloud.tencent.com/developer/article/1370854

现在确定他是挖矿病毒了，几个位置也清楚了，开始清理。

注意：如果你是在甲方那里，发现这种情况，

一定先固定证据！一定先固定证据！一定先固定证据！

直接给系统做个快照，或者做个镜像是做好不过的。

首先检查

        计划任务

        开机自启动

        其他能启动挖矿程序的进程

计划任务：

crontab -l

start.sh是腾讯云的一个服务

也没有问题

开机启动项：

ls /etc/init.d/

 

cat /etc/rc.d/rc.local

 

好像没啥问题

处置病毒：

个人习惯先下载下来，留在自己电脑上（俗称养蛊），然后清理Linux主机的病毒

        删进程

  

      ps -aux

kill -s 9 23000

我的test账户本来就是一个测试账户，没什么用，直接删除即可

userdel -r test

 

基本搞定

看一下病毒本体

拖进IDA

啊，有点复杂啊

还是看专业的师傅来吧https://cloud.tencent.com/developer/article/1370854

这个病毒很狡猾，对我来说难度稍微大了，师傅分析的很到位

发现我的主机被挖矿的时候

第一时间把这个好消息，分享给了hxd，他建议我如果没有很重要的数据，直接重置系统

noway！

这不得水一篇文章吗，在甲方当蓝队的时候我可不敢把这个写出来，否则分分钟律师函警告。

(其实买这个服务器最初就是为了搭一个蜜罐，甲方的蜜罐实在让人眼馋，抓人多好玩！遇到菜的，直接反制，让攻击方变成防守方，防守方开打！

搬出二连长的意大利炮哈哈哈哈)

最后重启一下系统，等一段时间后再观察一下，cpu没有异常的话，就基本确定排查完全且成功。

嘶好像没啥问题了，