公司服务器被黑用来挖矿

云安全中心提示

提示详情

病毒为挖矿病毒，利用Redis的未授权访问漏洞进行攻击。
Redis 默认配置为6379端口无密码访问，如果redis以root用户启动，攻击者可以通过公网直接链接redis，向root账户写入SSH公钥文件，以此获取服务器权限注入病毒。确定这个占据绝大部分cpu资源的进程sysupdate和xr，就是挖矿程序了，我们需要先找到它。

1、命令行直接输入top语句,获取病毒的PID

ECS进程查看

2、查看病毒路径
ls -l /proc/#{病毒PID}/exe

查看病毒路径

病毒文件

病毒脚本删除脚本

杀毒过程

1、获取挖矿程序进程号
ps -aux | grep sysupdate 

2、获取挖矿程序绝对路径
ls -l /proc/{pid号}/exe

3、删除程序文件、干掉进程
chattr +i  {文件绝对路径}  # 解除锁定
rm -rf  {文件绝对路径}
kill -9 {pid号}

4、删掉或者修复authorized_keys(攻击者可能在/root/.ssh/里面留他们的秘钥，所以我们要清理掉)
chattr +i  /root/.ssh/authorized_keys
rm -rf /root/.ssh/authorized_keys

5、删除定时任务
crontab -r

6、redis添加秘钥
  1）编辑redis.conf
  2）找到 #requirepass foobared  ，把requirepass前面的#和空格去掉，把 foobared  改为自己想写的密码比如123  
  3）关闭redis  redis-cli shutdown
  4）启动redis  /usr/local/bin/redis-server  /etc/redis.conf
redis3.2版本后新增protected-mode配置，默认是yes，即开启。设置外部网络连接redis服务，设置方式如下：
  1）关闭protected-mode模式，此时外部网络可以直接访问
  2）开启protected-mode保护模式，需配置bind ip或者设置访问密码

分析update.sh脚本

在/etc下下载了config.json（挖矿配置）、sysupdate（XMR挖矿软件）、update.sh（本脚本）、networkservice(scanner 扫描并入侵其他的主机)、sysguard(watchdog 用于监控并保证病毒的正常运行以及更新)并保证他们以root权限运行。