朋友反馈,阿里云管控台报警,cpu占用100%,瞬间想到挖矿木马。
排查过程如下:
1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但阿里云管控台上显示的cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,发现名为[crypto]的进程可疑,查一下它访问的ip地址,发现是新加坡的,基本就是他了。
3、该进程pid为467,lsof -p 467找到它的执行文件,在/usr/share下,进去之后可以看到[crypto],[crypto].sh等文件,这些很显然就是木马的执行文件、启动脚本、日志等等。
4、直接rm -rf发现可以删掉,居然没有赋权限。
5、kill掉木马进程,发现cpu恢复正常。
6、一般这种木马必定留有后门,查看authorized_keys文件发现不对劲,黑客留下了自己的ssh秘钥,可以直接登进服务器,必须删掉。
7、直接rm -rf提示没权限,于是chmod 777 authorized_keys赋权限,继续删,依旧提示没权限。
8、应该是被人用chattr命令加了不可修改的属性,执行lsattr发现确实是这样,被加了ia属性,不可修改,不可删除。
9、chattr -ia authorized_keys去除这个属性,居然依旧报错,这可就怪异了,这不可能啊。
10、思考之后,认为应该是有人篡改了chattr命令,cd /usr/bin 发现chattr文件是白色的,不是一个可执行文件。。。果然如此。
11、chmod -x chattr让他变成可执行文件,不出意外,提示没有权限。。。执行lsattr命令后,发现其被赋予了i属性,不可修改。这就操蛋了,我根本就不知道黑客把chattr命令替换成了什么,这么多的文件,不好排查。
12、一度想放弃,后来急中生智,从本驴自己的服务器上拷贝一份chattr文件到朋友的服务器中,重命名为chattr1,执行命令chattr1 -i chattr,居然可以!
13、恢复chattr文件后,解除authorized_keys文件的ia属性,然后成功删除该文件。
14、排查了定时任务,没有发现守护进程,至此,挖矿木马清除完成!
总结:
(1)对于隐藏了进程的木马,应该通过排查外网ip的方式来定位木马进程。
(2)linux的各种权限是真的烦。
(3)linux的本质是文件,记住这一点。
高谈阔论