版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xu622/article/details/83996828
测试服务器看到 ld-linux-x86-64的进程占用cpu极高,user 是 mysql 的。
测试环境不会有这么高的mysql负载,并且内存占用基本为0。区块链技术盛行,让人不得不怀疑被抓去做矿机了。
- 初步排查
[exchange@localhost /]$ sudo find -name "ld-linux*" #找到ld-linux-x86-64名字的文件
[sudo] exchange 的密码: #输入密码
./var/tmp/.ssh/stak/ld-linux-x86-64.so.2 #这个文件很可疑,.ssh是在用户目录下的,下面那个路径才是正常的路径
./usr/lib64/ld-linux-x86-64.so.2
./usr/share/man/man8/ld-linux.so.8.gz
./usr/share/man/man8/ld-linux.8.gz
通过简单分析,./var/tmp/.ssh/stak/ld-linux-x86-64.so.2应该是黑客模拟系统的文件名称,并且还放在.ssh这个隐藏文件夹下。黑客也有可能写其他跟系统类似的文件,也会放在其他用户比较熟悉的文件夹名称下,混淆视听。
2. 确认入侵
当时删的及时,没注意保存截图。在.ssh文件夹下某个文件夹中有个 config.json文件。有句 “pool_address” : “101.99.84.65:80”,查看IP是马来西亚的,基本确定是被拉去做矿工了。
[exchange@localhost 5101]$ sudo rm -rf .ssh #删除所有的文件并删除该进程
主要是服务器的22端口对外网开放,并且密码很简单。设置复杂密码或者22端口不开放可以控制这一情况。