服务器被门罗币挖矿病毒攻击的处理
收到阿里云报警短信 cpu使用率超过100%
上服务器 查看了一下。
发现有dev账号启动的进程特别可以 一个是cron 一个是tsm
直接su dev 切换到dev账号
并查看定时任务
看到这里 比较怀疑是弱密码被**了。由于年代久远,服务器里的账号具体做什么用已经不清楚了。
进入路径路面查看
一开始看了下 命令是sync,还比较怀疑,为什么sync命令会导致cpu这么高呢。一看 结果是这里的sync。
全局find了一下tsm,在tmp路径下找到了部分文件。这边把这个文件放在网盘了,供大家研究学习与讨论。
链接:https://pan.baidu.com/s/1h7hecKlWDtbZ4bZcLABWuw
提取码:snoi
复制这段内容后打开百度网盘手机App,操作更方便哦
部分是2进制文件 具体是什么不清楚。
生成firefixcatche的文件
这个应该是密码。但是没有在里面找到dev账号。
矿池
lib库
下载器
这边处理过程是
去除dev账号下的crontab 任务
删除dev账号 进程号用户名就变成id了 还是存在的
删除dev的home路径。
去除/tmp下运行tsm文件夹的执行权限,删除挖矿文件。
通过top排序 杀掉dev用户启动的进程
netstat –natp查看是否存在可以连接 直接杀掉。
看了一下阿里云的云安全中心。dev这个账号在近期被**了,赶紧查看别的虚拟机 是否存在这个账号。的确有dev账号 密码是123456,晕倒。但是被攻击的这台dev账号的密码已经被修改过了,一开始怀疑的时候 还测试了一下。
最后查到是门罗币,cpu挖矿。可参考下面文档
https://blog.****.net/wab719591157/article/details/82717458
https://blog.****.net/m0_37313888/article/details/82869939