在一个周末的晚上,收到了群里一个学弟的消息:
话不多说开始应急:
发现新增用户包括计划任务,包括使用率为百分百的cpu,可以确定是被入侵且植入了挖矿病毒。
后门用户:
计划任务:
top查看进程信息,但是发现占用率都不高呀,但是cpu总体确实是爆满了。
立即想到隐藏了进程。
挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/中的多个文件
先清理动态链接库
cp /etc/ld.so.preload /etc/ld.so.preload.bak
vi /etc/ld.so.preload #删除相关内容
接着使用top命令查看
找到了挖矿进程
赶紧杀死吧,卡死了-.-
杀死挖矿程序后立马cpu占用率就下来了。
crontab -e //查看计划任务
根据计划任务找到后门文件
。
查看服务 chkconfig --list
找到异常服务文件:
继续排查,查看服务内容
根据服务找到挖矿病毒文件位置: /usr/bin/player
备份删除挖矿文件。
# 停止服务
systemctl stop myservice.service
# 停止开机启动
systemctl disable myservice.service
# 删除服务文件
rm –rf myservice.service
收工····································
总结一下:
ssh弱口令一定要严加防范,使用强口令,定期修改。
