记一次挖矿病毒

  1. Top发现挖矿病毒
    中毒挖矿的特征:服务器比较卡,top查看,内存和CPU占用都比较高

  2. 根据PID查找进程,回显记录下来了,当时没有截图
    image.png

  3. 看到这是lthpc这个用户起来的程序,因为服务器是购买的联泰集群,装机会默认创建这个用户,UID一般为1000 而且所有联泰集群服务器的这个用户默认密码都是Lt111111
    (现在的怀疑黑客是通过这个用户进来的,反正给领导是这么汇报的)

  4. 查找到进程后第一步就是kill杀死这个进程,然后这个挖矿脚本一般会存在/var/tmp下,但是当时查找没有找到。

  5. 一般的挖矿病毒都会设置定时任务,通过crontab -l查看定时任务,没有找到,然后在/etc/cron.d/下也没有找到。

  6. 因为我是用root用户去查看的crontab 这个是看不到其他用户创建的定时任务的,想要查看其他用户的定时任务可以进入到 /var/spool/cron

  7. lthpc用户创建的定时任务就在这里了,当时着急了没有看里面内容,直接就删除了。

  8. 最后使用find / -name cnrig 查找到了此脚本在/var/tmp/下有一个隐藏文件.ap
    Cd /var/tmp/ 进入到目录下

  9. 然后执行ll -a 查看到了隐藏文件,接着进到这个隐藏文件下,发现新天地了
    image.png

当时没有经验,直接就删除了,以至于现在想看到底咋回事都无从下手了…

小结:删除所有无关用户,修改所有用户密码,增加密码强度,开启防火墙。