服务器弱密码用户导致的植入挖矿程序清理过程


2024-07-18收到服务器被攻击的短信

通过top命令发现有一个进程cpu有一定的占用,但是我服务器平时并不会有什么负载,所以怀疑是该进程有问题

当时并没有看到是test用户创建的

因为阿里云提示是22端口被攻击,所以通过命令查看


发现有大量的连接,都是ld-musl-x86这个进程

通过命令可以看到这个文件的地址是在/dev/shm下面

然后通过kill命令将该进程杀死



切换到这个目录可以都看到这两个文件都是test用户创建的

本来想先删除test用户


发现用户还占用了一个进程

./systemd-net --opencl --cuda -o 142.202.242.45:80 -u 43uCW7AgcgNcKj3MTBKVhy16iRqby1ithKpZyMzUdUGw1vyyqfn9Q5JU1RJ6ztS8C4AxxAKNM4Z4zARBRt2aRoQqFAKpgd6 -p xxx -k --tls --tls-fingerprint 420c7850e09b7c0bdcf748a7da9eb3647daf8515718f36d9ccfdd6b9ff834b14 --donate-level 1 --background

查看该进程命令,可以很容易看出这是一个挖矿程序,还设置了钱包地址等一些信息
image


不懂挖的是个什么币

然后通过sudo find / -type f -user test命令查看一下这个用户创建了什么文件


可以看到不光创建了shm文件夹下的两个文件,还在/proc/2027创建了一大堆的文件,proc是虚拟文件系统,2027就是挖矿程序进程的pid

可以看出来并没有创建别的东西或者后门

那只需要将这两个程序删除,并将test用户删除就可以解决

test用户是之前为了测试创建的一个用户,密码设置的是弱密码,所以千万不要设置弱密码,好在只是test用户被爆破进入,而不是root,不然就麻烦了

11 个赞

学习

1 个赞

学习下,安全无小事

1 个赞

看来还是密钥安全

1 个赞

还是建议重装,因为你不知道它修改了哪些,比如你用ps,top,rm,万一这些命令都是假的怎么办

1 个赞

学习下,感谢分享

这个挖矿程序比较简陋,遇到过隐藏进程的,top ps 之类的都看不到进程

检查这些建议上一个busybox 一般的应用级的进程隐藏无法做到劫持他的调用

怪吓人的

学习下,安全无小事

这个是可以用rpm命令排查的

如果rpm也被替换了就不行了
我觉得只能重装或者用其他启动盘排查

日常公网ip的ssh端口都是关的,走隧道到内网ip连接,可以少很多问题。

1 个赞

了解了

From 网络安全 to 开发调优