本文详细介绍了服务器CPU占用率接近100%的现象,通过使用top命令定位到占用CPU的进程,并逐步排查和解决由zigw病毒引起的高负载问题。文章深入分析了病毒的工作原理,包括如何通过crontab设置定时任务,以及如何利用Redis漏洞入侵服务器。
1、现象
服务器CPU报警,查看时,已接近100%。
2、查找
使用top查看是哪个进程在占用CPU,此时zigw立刻出现,记录下进程的PID,假如为12345。
(1) 如果在不知道程序的路径前,就杀死了进程(kill -9 12345),那么就只能通过find / -name zigw来查找病毒文件的位置了。找到后,首要做的就是删除它。
(2) 如果没有杀死进程,我们可以先获取病毒文件路径。ll /proc/12345,发现程序的文件指向/etc/zigw,于是开始删除它。
3、删除
删除的过程中,会遇到无法删除的情况。这是因为文件添加了隐藏属性。
lsattr zigw查看文件隐藏属性,一般会有i和a这两个隐藏属性,这俩属性阻止了我们的删除行为。
我们首要做的就是取消这俩权限。
chattr -ia zigw
rm -f zigw
4、检查
一般攻击者会加入定时任务和留下后门。
crontab -l执行时,出现了乱码,但乱码中有一些信息。它会从某个远程地址下载脚本来执行。
http://chrome.zer0day.ru:5050/mrx1
这个地址是我被攻击时的,如果你被攻击了,可能不是这个地址了。
crontab -e想去删除定时任务,发现无法删除,每次退出,它又还原了。
还原的同时它会报出另外一个目录:/var/spool/cron,进入该目录,目录下有2个文件,直接rm -rf *无法删除。
同理是隐藏属性的事。
lsattr *
chattr -ai root
chattr -ai dump.rdb
同时还要查看/root/.ssh/authorized_keys文件,如果有多余的密钥,需要清除它们。
5、反思
此次攻击是攻击者利用了redis的漏洞进入的,以后要严格限制防火墙的开放规则,对于已经有安全通报的软件不要随意安装。
参考站点:
https://blog.youkuaiyun.com/sayWhat_sayHello/article/details/83988443
http://blog.51cto.com/10950710/2123114?tdsourcetag=s_pcqq_aiomsg
扫一扫
236
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
