linux被挖矿两次,终极排查经验
ahcoder 2025-05-22 08:56 5 浏览
收到紧急反馈
收到客户自建服务无法访问的反馈,立刻登录服务器查看。很遗憾,多次尝试登录依然失败,密码已被篡改。访问机器的数据库,还能访问,立刻做了备份。通知对方技术重启进入linux紧急救援模式修改密码。
完整的排查方案,已自动跳过第一次遗留的坑
1.首先查看机器情况,命令:top
cpu已经完全被病毒程序占用,其他程序被拖累的无法正常运行。
2.查找此程序的运行文件,命令:cd /proc/对应pid
病毒文件位置/root/.configrc/a/kswapd0 进入/root文件查找.configrc,此文件夹已被隐藏,通过命令 ll -a 可以显示出来此目录下的所有文件
3.查看网络连接 命令:netstat -antlp
发现可疑的外网地址,经查为荷兰IP,并且还有rsync也在与此IP连接
4.干掉病毒进程 命令 kill -9 病毒进行对应的PID,以及rsync对应的PID
杀掉以后,机器负载恢复正常,由于也会经常使用linux的crontab 做一些定时计划,于是查看定时任务
5.不要遗漏定时任务 命令:crontab -l
果然有大量的定时任务在进行病毒进程的维护,并且发现tmp目录下的.X25-unix依然是病毒文件,果断删除,命令 crontab -e 进入编辑模式,操作方式和vi一样,命令模式下DD删除行,最后保存 :qw
6.删除病毒文件 命令: rm -rf
需要删除的目录1 rm -rf /root/.configrc
需要删除的目录2 rm -rf /tmp/.X25-unix
7.查看是否已经设置通过public key 免密登录,此方式为在Linux服务器放置公钥,外界通过私钥可以绕过密码直接登录系统,放置目录:/root/.ssh/
果然发现了免密的证书,果断删除: rm -rf 证书文件
8.修改系统用户密码 命令: passwd 用户
密码建议越复杂越好,大小写、数字、符号多次交叉
攻击进入方式排查
- 使用last查看最近登录,可以发现有异常IP(查看IP归属地)登录
- 查看登录系统日志,命令:less /var/log/secure|grep 'Accepted'
这里只是列出了成功登录系统的日志,其中publickey就是通过证书免密的方式登录的,这里也是我第一次忽略的地方,造成了第二次被挖矿。可以拉下来仔细查看secure文件,最终证明,这台机器是被简单密码破解进入的。从日志里面发现了一个IP多次使用用户密码登录,最后被命中了。命中后依然继续用其他用户尝试,可以发现,这是由机器在不断的寻找能够攻破的机器,然后再交由其他IP安装挖矿。
3.查看系统是否新建了其他用户,避免被新建用户,依然被访问,命令:cat /etc/passwd|grep -v nologin|grep -v halt|grep -v shutdown|awk -F":" '{ print $1"|"$3"|"$4 }'|more
这里没有其他非自己建立的用户即可
linux机器安全的建议
- 密码一定要复杂、再复杂
- 只暴漏必要的接口
- redis一定要设置复杂密码认证
- 能不用root用户运行应用就不用
- 及时更新系统漏洞
- 如非必要自建,还是购买阿里云,确实抵御了很多攻击
相关推荐
- Linux抓包工具tcpdump安装和使用,监视网络接口小工具大用途
-
Tcpdump工具是一个抓包工具也是一个协议分析软件。强大的功能和灵活的截取策略,使它成为Linux统下网络分析和问题排查的首选工具。tcpdump可以将网络中传送的数据包的头截获下来做分析。它支持...
- linux安装lnmp一键安装包
-
一般企业正式服环境用的lnmp.org一键安装包,下面做下简单介绍:官网:https://lnmp.org1.安装(官网上有详细的安装步骤)screen-Slnmp是为了在安装的过程中,断线的后台...
- Linux 安装Oracle11.2.0.4 (静默安装法)
-
一、环境准备1下载安装包已上传至对象存储,一共两个包#oracle11.2.0.4_1of7.zipwgethttps://oss-cn-north-1.unicloudsrv.com/sc-...
- Ubuntu入门使用之 24.04 如何安装命令工具(或软件包)
-
如果你是初学者,在Ubuntu24.04上运行命令时遇到错误,这意味着运行该特定命令所需的软件包在你的系统中不可用。无论你是刚开始探索Linux世界,还是从旧版本升级而来,你可能会想知道如何...
- Linux 安装代理 实现Windows Proxifier 功能
-
场景:linux上的应用---------->代理服务器(socket5)--------------------目标服务实现方案通过ProxyChains+Socat这2个工具来实现,具体...
- Python保姆级安装教程(CPU+GPU)
-
以下是为您整理的2024年Python保姆级安装教程(CPU+GPU详细版),涵盖Windows、macOS和Linux系统,并详细说明GPU环境的配置(如CUDA、cuDNN等...
- linux安装oracle
-
需要安装oracledataguard,所以先要安装单台oracle11g,下面是单台oracle11g的详细安装过程。1,安装环境硬件环境:2台linux虚拟机,Centos6.4,4G,4核...
- Linux安装Nginx详细教程
-
Nginx是一款高性能的开源Web服务器软件,它被广泛应用于构建高性能的网站和应用程序。本文将向您介绍如何在Linux操作系统上安装和配置Nginx服务器。一、下载nginx1.1、手动下载进入ngi...
- 选择LINUX安装平台
-
您已经选择了Linux发行版,并准备开始安装过程,但您需要确定您的硬件选项。以下是从哪里开始。译自Linux:ChooseanInstallationPlatform,作者Damon...
- 用Linux“还原”Win11,AnduinOS创始人公布1.4/1.5版本更新计划
-
IT之家5月24日消息,据外媒Neowin今日报道,AnduinOS的唯一开发者AnduinXue近日公布了“类Windows风格”Linux系统未来的版本规划。他表示,A...
- Linux lsof命令使用小结
-
推荐理由lsof(listopenfiles)是一个列出当前系统打开文件的工具。在Linux环境下,任何事物都是以文件的形式存在,通过文件不仅可以访问常规数据,还可以访问网络连接和硬件。所以,如传...
- Linux进程管理—信号、定时器使用详解
-
信号:1.信号的作用:背景:进程之间通信比较麻烦。但进程之间又必须通信,比如父子进程之间。作用:通知其他进程响应。进程之间的一种通信机制。信号:接受信号的进程马上停止,调用信号处理函数...
- Nexus 3 本地搭建与使用实战指南(适用于 Linux 与 Win11)
-
一、背景与介绍在DevOps流程中,本地镜像仓库能显著提升镜像下载速度、增强安全性并保障离线可用性。本文将手把手教你在Linux和Win11上分别部署并使用Nexus3搭建Dock...
- 字节跳动介绍使用AI优化Linux内核成果,可减少30%内存用量
-
IT之家11月23日消息,据外媒zdnet报道,字节跳动日前在LinuxPlumbersConference上介绍了通过使用AI优化Linux内核的成果,号称可以取得“显著...
- 一文带你了解 Linux 文件权限,从基础到高级
-
在Linux中,每个文件和目录都关联了一组权限,定义了不同用户对其的访问能力。权限分为三类:读取(read,r)、写入(write,w)和执行(execute,x),分别用字母r、w、x...
- 一周热门
- 最近发表
- 标签列表
-
- linux 远程 (37)
- u盘 linux (32)
- linux 登录 (34)
- linux 路径 (33)
- linux 文件命令 (35)
- linux 是什么 (35)
- linux 界面 (34)
- 查看文件 linux (35)
- linux 语言 (33)
- linux代码 (32)
- linux 查看命令 (33)
- 关闭linux (34)
- root linux (33)
- 删除文件 linux (35)
- linux 主机 (34)
- linux与 (33)
- linux 函数 (35)
- linux .ssh (35)
- cpu linux (35)
- 查看linux 系统 (32)
- linux 防火墙 (33)
- linux 手机 (32)
- linux 镜像 (34)
- linux ip地址 (34)
- linux 用户查看 (33)