服务器被入侵并安装挖矿程序处理记录

现象描述

在业务上云阶段,很多实例都绑定了EIP而且可以出公网,但是ISV并没有及时变更弱口令,导致ECS服务里密码被暴力破解,并且安装了挖矿程序。在云监控中心发现有十几台ECS实例的CPU使用率一直是100,业务方面报告说服务特别卡。登录系统后,用top命令发现一个ntpd和md很是可疑。后来调查发现,ntpd是伪装的进程,实际执行的是md进程,kill掉该进程后还会自动重启,而cryptonight是用于挖门罗币的算法,supportxmr.com是一个矿池网站。

图片

处理方法

目标定位

查找find / -name md 发现有/dev/shm/.ntld-vslt/md,这个路径在其他未收到感染的实例中是没有的,进入到该目录下,发现有几个可执行脚本。

其中run脚本如下:

解决方案

修改所有实例的弱口令

用passwd命令修改,新口令要包含大写字母,小写字母,数字,特殊符号至少三种。

删除挖矿程序文件所在目录

rm -rf /dev/shm/.ntld-vslt

删除周期性任务

因为kill掉md进程后不久就会自动重启,所以crontab -e查看是否有周期性任务,发现果然有一条。用crontab -r进行删除。如果有多条,只能删除挖矿程序对应的任务。

删除进程

top查看可疑进程号,然后kill -9 pid即可。如果可以,最好能重启一下系统。

后续观察

在处理完之后,我们需要继续观察一段时间,确保挖矿程序不会再次启动。同时可以通过查看是否有异常连接(netstat -nap)以及非法登录(last和lastb)进一步排查,如果某个地址同时在lastb和last输出结果中出现,则这个地址的有较大的可疑。同时,我们也可以结合云盾的日志进行分析,可以请云盾的安全专家配合支持。

0%