大纲

一 简单介绍 aliyun.one 病毒

二 病毒删除的策略

三 总结

 

一  病毒现象

现象：服务器现象 是cpu爆高.但是从top itop等看不出系统哪有问题.

top

查看crontab 发现种了木马  通过redis植入(没设置密码)

hosts crontab等 都被修改的一塌糊涂.尝试修改crontab 任务,还没有修改完 就被覆盖了。无法清空crontab。到处都有这个脚本的影子,应该无时无刻在更新脚本 同步脚本吧。

 

就算侥幸注释掉  过一会还是会被覆盖成新的

病毒木马如下 ：

在肉鸡里面执行crontab，这样的话如果用户里存在信任的主机，并且有密匙的话，这样就连信任的主机也会变成肉鸡了。

虽然现在看上去他只是定时去拉取了脚本，但是当他准备发动攻击，修改了脚本内容以后性质就不同了。

因为是root账号中毒 没法删除root账号,不能铲掉机子。

 

二 病毒删除办法

首先要 通过 top 命令能看到病毒进程

1 删除了wget和curl  让病毒 不再同步到 服务器。

2  需要 清空 /etc/ld.so.preload 文件，然后 执行 ldconfig 命令。

3  执行 top 命令

4 发现有两个进程 一个  scsi_eahc_1s cup 爆满,和 9432671f5d   kill 掉。

5  find / -name 9432671f5d    找到 相关的文件 全部清除 。

6  find .|xargs grep -ri "aliyun.one"

全部干掉。

crontab -r 并且 删除 已发现的job 等等，包括 hosts 中 非法域名链接都干掉。

 

三 总结 

通过这次感染病毒后的经历，感觉安全很重要。

具体措施如下 ：

1 修改redis 等 默认端开为非常用端开。

2 设置redis 登陆密码 不能不设置或者 使用简单的密码。

3 修改其它 使用默认的简单的端开。

参考文献

https://blog.****.net/xujiamin0022016/article/details/103319879

https://www.v2ex.com/amp/t/626230/2

https://blog.****.net/simplemurrina/article/details/103682389

https://blog.****.net/ruixue2016/article/details/80008766