大纲
一 简单介绍 aliyun.one 病毒
二 病毒删除的策略
三 总结
一 病毒现象
现象:服务器现象 是cpu爆高.但是从top itop等看不出系统哪有问题.
top
查看crontab 发现种了木马 通过redis植入(没设置密码)
hosts crontab等 都被修改的一塌糊涂.尝试修改crontab 任务,还没有修改完 就被覆盖了。无法清空crontab。到处都有这个脚本的影子,应该无时无刻在更新脚本 同步脚本吧。
就算侥幸注释掉 过一会还是会被覆盖成新的
病毒木马如下 :
在肉鸡里面执行crontab,这样的话如果用户里存在信任的主机,并且有密匙的话,这样就连信任的主机也会变成肉鸡了。
虽然现在看上去他只是定时去拉取了脚本,但是当他准备发动攻击,修改了脚本内容以后性质就不同了。
因为是root账号中毒 没法删除root账号,不能铲掉机子。
二 病毒删除办法
首先要 通过 top 命令能看到病毒进程
1 删除了wget和curl 让病毒 不再同步到 服务器。
2 需要 清空 /etc/ld.so.preload 文件,然后 执行 ldconfig 命令。
3 执行 top 命令
4 发现有两个进程 一个 scsi_eahc_1s cup 爆满,和 9432671f5d kill 掉。
5 find / -name 9432671f5d 找到 相关的文件 全部清除 。
6 find .|xargs grep -ri "aliyun.one"
全部干掉。
crontab -r 并且 删除 已发现的job 等等,包括 hosts 中 非法域名链接都干掉。
三 总结
通过这次感染病毒后的经历,感觉安全很重要。
具体措施如下 :
1 修改redis 等 默认端开为非常用端开。
2 设置redis 登陆密码 不能不设置或者 使用简单的密码。
3 修改其它 使用默认的简单的端开。
参考文献
https://blog.csdn.net/xujiamin0022016/article/details/103319879
https://www.v2ex.com/amp/t/626230/2
https://blog.csdn.net/simplemurrina/article/details/103682389
