本文分享了一次服务器遭遇挖矿木马攻击的经历,详细记录了从发现异常CPU占用,到定位并清除木马的过程。作者通过使用top命令发现可疑进程,进一步查明为非法下载的挖矿程序,并采取措施阻止其运行,包括调整文件权限、终止木马进程、清理执行计划及删除恶意文件。此外,还揭示了攻击者通过YARN端口8088渗透的细节。
查看进程:top
发现一个command为java的程序一直在偷吃我的cpu,逗我玩,我的java怎么可能会偷吃,一开始还真以为是java文件
查看进程命令:top c
一看,是一个在/var/tmp/java下的文件,阿里云的态势检测有一个非法下载异常和一个挖矿木马程序
11.09分被非法下载下载下来的,11分被执行,短信就过来了,不用看了就这家伙,谁知打开一看,乱码,不慌,先把起权限降为只读。
先把木马进程杀掉和所有执行计划停止掉(或删除掉)
service stop crond 或 crontab -r 删除所有的执行计划
我一不小心就把执行计划删除掉了,不过删除前我已经把这个计划文件找到了在:/var/spool/cron下,最可恶的是,文件还伪装成我的用户名"ljj",一眼看过去就知道不是我,我们不一样。
打开名为ljj的文件:
把标准输出流放到回收站中,标准错误流放到标准输出流中,也跟着进了回收站/dev/null,因此没有错误消息显示出来。
顺便回头把/var/tmp下假java文件也删掉。
最后提一下,我是被入侵yarn的端口8088,可以通过相关端口进入管理页面查看发现有一堆正在执行的任务,注意做好相关措施,防止匿名用户登录。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
