记一次服务器被黑的调查过程

1、因服务器负载过高,查看原因,通过top命令查看负载发现异常进程md64,

2、ps查看进程启动程序

3、kill掉后跳出名为tsm异常进程,怀疑挖矿木马程序。

使用kill -9 杀死后,一分钟左右又自动出现,

4、ps查找该进程目录,发现可疑文件/usr/sbin/http

然进入到该目录,并没有发现该可疑文件。

5、查找有无可议计划任务。

a、查看root下计划任务,

b、清除后,查看git用户下计划任务。

将上述所列计划任务清除后,kill 杀死tsm进程后,还是启动

6、查找可疑用户cat  /etc/passwd/

发现http用户,清理掉后杀掉进程,还是无法杀掉

7、使用命令pstree -p | grep tsm

8、看到父进程是一个go进程,杀掉该进程后,并杀死tsm进程

9、查找go文件

发现可疑问件,清理掉后,此时tsm进程不在启动。

 

10、通过计划任务查找启动目录

发现可疑脚本nano.sh,脚本内容如下

nano.sh

monero.tgz

 

进行留存并清理该脚本

看到可疑配置文件config.json,该配置文件内容如下:

config.json

x86.sh

将该目录留存并清理。

11、将以上内容清理后,并未发现其他异常进程及文件目录,

12、查看监控报警后,发现此次异常进程可能由9月6号开始。

总结教训:

1、从以上内容分析,此次入侵途径可能为服务器及服务未知漏洞,或普通用户暴力破解造成。

2、根本原因为安全意识薄弱,以后要提高安全意识,做好防范措施,添加跳板机,避免服务器直接暴露。

posted @ 2020-04-03 11:33  迷路的大雁  阅读(422)  评论(0编辑  收藏  举报