记一次阿里云linux病毒清理过程

1|01、起因

  因为这台服务器是我们公司内部开发服务器,几乎每个人都有root密码。在两天前突然有同事反馈说偶尔会有ssh连不上,git代码无法提交的问题,刚开始也没有在意,以为是阿里云服务器网络波动的原因。

  今天开发又像我反应redis连不上并且ssh也连不上,感觉事情没有想象的那么简单了,还好我在跳板机上能够远程连接上,所以就稍微看了一下。

2|02、处理过程

2|12.1 观察监控和服务器资源

  因为觉得不对劲,所以瞄了一眼监控,发现这台服务器eth0网卡的流量被跑满了,图在下面

  在服务器上通过ifconfig查看,发现eth0这个网卡已经被跑了好几个T的流量了。

  知道是因为网卡流量被跑满了,所以要看一下到底是什么进程跑掉的,于是ps -ef看了一下,发现进程真特么多完全没法一眼看出来,想了想既然跑那么多流量那一定也比较吃资源,决定top d1看一眼,不看不知道一看吓一跳,不多说了上图:

  这个pid为7796的进程吃了76.2%的CPU,这是要上天啊!!!

2|22.2 话不多说就是干

  二话不说直接kill -9 7796,然后试了一次ssh连接,果然好使,秒秒钟就连上了,然后观察监控,果然流量也下来了。

2|32.3 事情并没有这么简单

  然而事情并没有这么简单,我还没开始嘚瑟,流量又上去了,ssh也连不上了。

  这个还带满血复活的么?事情并不简单,top d1一看,又有一个不认识的进程起来了,还是那么的吃CPU。不管三七二十一又是一顿操作猛如虎秒秒钟杀了它。

  满血复活应该是有定时任务啊!!!其实我也不确定有没有,反正有想法总是好的,然后crontab -l看了一眼:

  并没有定时任务啊,果然能做这种缺德事的一般脑子都是比较灵光的。还好我看了一眼定时任务的配置文件:

  果然是定时任务的原因,然后赶紧把定时任务删了,把定时任务对应目录下的脚本自己down下来,然后删掉。

  说了没那么简单,果然真的没那么简单,之前的处理方式太草率了,以为把定时任务删掉之后就万事大吉了,结果没多久又开始了:

  这次我觉得慢慢来,看一下这个进程到底是哪里来的,已知进程pid为27894

  查看一下这个进程的具体目录在哪里:

  可以看到cwd -> /tmp,进入/tmp目录查看:

  该目录下游几个可执行文件,直接删掉!!!

3|03、硬是没总结出什么来

  关于这次的事件,具体是什么原因导致的我也没想明白,最大的可能就是root密码知道的人太多了。

  最后把两个脚本放上来,大家研究研究:

0anacron:

#!/bin/sh
# Check whether 0anacron was run today already
if test -r /var/spool/anacron/cron.daily; then
    day=`cat /var/spool/anacron/cron.daily`
fi
if [ `date +%Y%m%d` = "$day" ]; then
    exit 0;
fi

# Do not run jobs when on battery power
if test -x /usr/bin/on_ac_power; then
    /usr/bin/on_ac_power >/dev/null 2>&1
    if test $? -eq 1; then
    exit 0
    fi
fi
/usr/sbin/anacron -s

cron.sh:

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& done
cp /lib/udev/udev /lib/udev/debug
/lib/udev/debug

参考:

清理了一个服务器 DDos 木马 - V2EX

Linux服务器中木马(肉鸡)手工清除方法 - -V - 博客园

Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent(Linux.BackDoor.Gates.5)木马清理 - CSDN博客

一次Linux服务器被入侵和删除木马程序的经历-彩龙社区 - Powered by Discuz!

Linux服务器下Linux.BackDoor.Gates.5病毒的简单处理方法 - 小西瓜的管理和技术之路 - SegmentFault 思否


__EOF__

本文作者StaryJie
本文链接https://www.cnblogs.com/jie-fang/p/10279429.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
posted @   StaryJie  阅读(1209)  评论(0编辑  收藏  举报
编辑推荐:
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
阅读排行:
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 单元测试从入门到精通
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律
点击右上角即可分享
微信分享提示
AI IDE Trae