本站教程收集整理的这篇文章主要介绍了解决CentOS被wbew挖矿程序入侵的方法,本站教程本站觉得挺不错的,现在分享给大家,也给大家做个参考。
@H_419_4@
来龙去脉
@H_502_8@昨天收到阿里云的安全邮件,主机被挖矿程序入侵
@H_502_8@有必要了解一下挖矿,百度搜索结果
@H_502_8@使用top命令查看了一下,wbew这个进程占用了99%的cpu,不能忍,着手找解决方案,百度呗,果然有小伙伴和我遇到了相同的问题
论坛上提供的解决思路,关于minerd
初步尝试
@H_502_8@首先按照正常思路
@H_404_30@
top 命令或者 ps-ef |grep wbew (这个需要知道是哪个程序,可以先top一下) 查看程序的pid 然后kill -9 [pid],过了没有多久 ,又启动了,果然没有这么简单
rm /etc/wbew ,不然可以先find一下
再次尝试
@H_404_30@
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 网上说要这么操作,我感觉不太行,因为我是centos7的防火墙操作已经变了,但是死马当活马医吧/usr/local/etc下root文件中的内容,我的这个机器没有,根据程序的表现来看应该是有个计划任务,下面着手来操作计划任务
/var/spool/cron/root,/var/spool/cron/crontabs/root.,/etc/cron.d/root 从这些计划任务文件中入手 移除恶意脚本的计划任务,你可能会遇到无法写入问题,参考下面的解决方案@H_404_30@
chattr -isa /var/spool/cron/root 先去除isa属性,在使用vim编辑删除恶意计划crontab -l 查看计划任务service stop crond 或者crontab -r删除所有的执行计划,你会发现根本没用,呵呵chmod -x minerd,取消掉执行权限 我的是chmod -x /etc/wbew,根据实际情况来
rm /etc/wbew 删除 ,kill -9 [pid]然后kill掉进程
/tmp/crloger1 删掉 ,因为脚本下载的程序都/tmp目录
@H_502_8@第二天打开服务器,解决了,再也没有出现,发现关键就两个地方,第一个恶意计划,第二个,之前没有说也就是本事件的根源
@H_502_8@毕竟解决这个问题不是目的,而是事情的根源redis服务,我不就是偷了个懒,为了统一测试环境 ,将 redis 开放了外网访问,并且没有设置密码,还使用的默认端口,好吧,我活该
参考其他小伙伴的解决方式
@H_502_8@解决方式
@H_502_8@登录服务器后用top命令查看cpu利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。
@H_502_8@查阅/etc/crontab、/etc/cron.d和/var/spool/cron,后两个目录下的名为root的文件被写入了三个任务计划,是下载一个sHell文件并执行。通过查看这个sHell文件,程序又从网站下载了一个可执行文件crloger1到/tmp,其属性被置为+ia。
@H_502_8@用pstree命令又发现了一个名为migrations的异常进程,文件位于/etc,注意不是migration,也是杀死之后又重新启动。
@H_502_8@处理步骤:
@H_502_8@修改root密码;
@H_502_8@~/.ssh/出现了不认识的authorized_keys,改属性后删除。
@H_502_8@删除连接网站下载文件的任务计划;
@H_502_8@执行chattr -ia chloger1;
@H_502_8@杀死httpdz和migrations,删除/etc/httpdz、/etc/migrations和/tmp/crloger1。
@H_502_8@系统没有设置redis密码。设置redis密码,?限定可以连接redis的IP,改redis默认端口6379。如果不用redis,干脆停掉也行。
@H_502_8@观察了24小时,阿里云没有再推送警告。
修复redis挖矿程序入侵漏洞
@H_502_8@配置bind选项,限定可以连接redis服务器的IP,并修改redis的默认端口6379.
@H_502_8@配置AUTH,设置密码,密码会以明文方式保存在redis@R_404_2023@中.
配置rename-command CONfig “Rename_CONfig”,这样即使存在未授权访问,也能够给攻击者使用COnfig指令加大难度
好消息是redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
打开 ~/.ssh/authorized_keys 删除你不认识的账号
查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
@H_502_8@防范技巧
@H_404_30@
requirepass设置密码;定时任务相关操作
@H_404_30@
vim /etc/crontab
crontab -l
crontab -r
cat /etc/rc.d/rc.local查看恶意操作脚本开机就执行的
操作中遇到的问题解决方案
Linux 文件不能被root修改与编辑原因
@H_502_8@摘录至Linux公社
@H_502_8@近段时间公司的一台服务器被恶意添加了一些定时器任务到crond的@R_404_2023@”/var/spool/cron/root”里,本想着只要简单使用crontab -e命令把该恶意的任务去除掉就可以了,但修改后发现无论我怎么努力也保存不了,直接修改文件“/var/spool/cron/root”也不行,我苦思是什么力量让这个拥有至高无上权力的root用户都无法对该文件进行更改和删除。后来经一资深Linux的朋友点拔一下才知道,文件除了有读写执行权限控制外还有更底层的文件属性,这里汲及到的两个查看和更改文件属性的命令是lsattr和chattr。
@H_502_8@使用 lsattr /var/spool/cron/root一看才知道该文件被添加了sia属性:s---ia------- /var/spool/cron/root,然后使用:chattr -isa /var/spool/cron/root把这三个属性去除,即可对该文件进行修改了,成功地把该恶意任务去除。
小确幸
@H_502_8@每一丝灵感都值得被记录,每一笔记录都是成长,每一点成长都值得欢呼
@H_502_8@博主个人站: www.imisty.cn
CSDN博客: https://blog.csdn.net/lookinthefog
博客园 :https://imist.cnblogs.com/
@H_502_8@希望能够认识一些热爱技术的小伙伴,欢迎友链接哟
@H_419_4@
@H_419_4@
@H_419_4@
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
编程之家官方1群(满) 编程之家官方2群(满)香港vps 编程之家官方3群(满) 编程之家官方4群 编程之家官方5群(新)
- 上一篇:centos 6升级 GCC 到4.8下一篇:CentOS安装PinPoint
本站总结
以上是本站教程为你收集整理的解决CentOS被wbew挖矿程序入侵的方法全部内容,希望文章能够帮你解决解决CentOS被wbew挖矿程序入侵的方法所遇到的程序开发问题。
如果觉得本站教程网站内容还不错,欢迎将本站教程推荐给好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。
