服务器被黑了,有个不知名进程 cpu 占用率 97%, kill 了没多久又启动

2019-05-02 01:07:28 +08:00
 irblu

应该咋办?怎样知道这程序是怎样启动的,有什么应对措施?

14479 次点击
所在节点    Linux
45 条回复
2kCS5c0b0ITXE5k2
2019-05-02 01:14:56 +08:00
中毒了 是挖矿的 查下那个进程名
irblu
2019-05-02 01:18:27 +08:00
进程名是 vTtHH
stx2012
2019-05-02 01:18:41 +08:00
是通过定时任务跑的,暂时解决办法是把定时任务功能关掉。永久解决办法是备份数据重新安装系统
irblu
2019-05-02 01:19:47 +08:00
用户列表如下,有没有可疑的用户?

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:997:User for polkitd:/:/sbin/nologin
libstoragemgmt:x:998:996:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:997:995::/var/lib/chrony:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
syslog:x:996:994::/home/syslog:/bin/false
centos:x:1000:1000:Cloud User:/home/centos:/bin/bash
www:x:1001:1001::/home/www:/sbin/nologin
mysql:x:1002:1002::/home/mysql:/sbin/nologin
git:x:1003:1003::/home/git:/bin/bash
2kCS5c0b0ITXE5k2
2019-05-02 01:21:24 +08:00
more /var/log/cron log 查一下日志
irblu
2019-05-02 01:24:44 +08:00
太真实了,早上在 V2EX 回帖宣传一下网站,就被人暴力破解了
irblu
2019-05-02 01:28:32 +08:00
@emeab

/var/log/cron
::::::::::::::
Aug 10 11:30:01 VM_0_12_centos CROND[18805]: (root) CMD (/usr/local/qcloud/stargate/admin/start.sh >
/dev/null 2>&1 &)
Aug 10 11:31:01 VM_0_12_centos CROND[18864]: (root) CMD (/usr/local/qcloud/stargate/admin/start.sh >
/dev/null 2>&1 &)
Aug 10 11:32:01 VM_0_12_centos CROND[18918]: (root) CMD (/usr/local/qcloud/stargate/admin/start.sh >
/dev/null 2>&1 &)
Dec 10 15:23:19 VM_0_7_centos crond[869]: (CRON) INFO (RANDOM_DELAY will be scaled with factor 13% i
f used.)
Dec 10 15:23:19 VM_0_7_centos crond[869]: (CRON) INFO (running with inotify support)
Dec 10 15:23:25 VM_0_7_centos crontab[3078]: (root) LIST (root)
Dec 10 15:23:25 VM_0_7_centos crontab[3074]: (root) REPLACE (root)
Dec 10 15:23:26 VM_0_7_centos crontab[3185]: (root) LIST (root)
Dec 10 15:23:26 VM_0_7_centos crontab[3193]: (root) LIST (root)
Dec 10 15:23:26 VM_0_7_centos crontab[3190]: (root) REPLACE (root)
Dec 10 15:23:27 VM_0_7_centos crontab[3594]: (root) LIST (root)
Dec 10 15:23:27 VM_0_7_centos crontab[3593]: (root) REPLACE (root)
Dec 10 15:24:03 VM_0_7_centos crond[869]: (root) RELOAD (/var/spool/cron/root)
Dec 10 15:24:03 VM_0_7_centos CROND[10075]: (root) CMD (/usr/local/qcloud/stargate/admin/start.sh >
/dev/null 2>&1 &)
Dec 10 15:24:06 VM_0_7_centos crontab[10117]: (root) LIST (root)
Dec 10 15:24:06 VM_0_7_centos crontab[10121]: (root) LIST (root)
Dec 10 15:24:06 VM_0_7_centos crontab[10120]: (root) REPLACE (root)
Dec 10 15:24:06 VM_0_7_centos crontab[10147]: (root) LIST (root)
Dec 10 15:24:06 VM_0_7_centos crontab[10149]: (root) REPLACE (root)
Dec 10 15:25:01 VM_0_7_centos crond[869]: (root) RELOAD (/var/spool/cron/root)
2kCS5c0b0ITXE5k2
2019-05-02 01:30:13 +08:00
usr/local/qcloud/stargate/admin/start.sh 是这个脚本不 你看下这个的内容
irblu
2019-05-02 01:32:28 +08:00
@emeab

#! /bin/sh

# create by hetiulin

umask 0022
unset IFS
unset OFS
unset LD_PRELOAD
unset LD_LIBRARY_PATH
export PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin'

if [ -w '/usr' ]; then
myPath="/usr/local/qcloud/stargate"
else
myPath="/var/lib/qcloud/stargate"
fi
agent_name="$myPath/sgagent"

check_user()
{
if [ "root" != "`whoami`" ]; then
echo "Only root can execute this script"
exit 2
fi
}

check_alive()
{
status=`ps ax | grep "$agent_name" | grep -v "grep" |wc -l`

if [ $status -ne 0 ]; then
# process exist
echo "stargate agent already exist"
exit 1
fi
}

### Main Begin ###

check_user
check_alive
cd $(dirname $0)
$agent_name -d

ret=$?
if [ $ret -eq 0 ]
then
echo "stargate agent run succ"
else
echo "stargate agent run failed, errcode: $ret"
fi
exit $ret

### Main End ###
2kCS5c0b0ITXE5k2
2019-05-02 01:38:10 +08:00
@irblu 不是这个 这个只是腾讯云监控脚本
2kCS5c0b0ITXE5k2
2019-05-02 01:39:24 +08:00
去看看定时任务有没有什么奇怪的
2kCS5c0b0ITXE5k2
2019-05-02 01:41:34 +08:00
https://www.anquanke.com/post/id/171523 按照这个来看看能不能成功吧
msg7086
2019-05-02 02:34:43 +08:00
被黑了,第一步是重装系统,第二步是看哪里没做好。
irblu
2019-05-02 03:13:32 +08:00
重装电脑了,吸取经验,root 密码用强密码,关掉 22 端口
zhuzhibin
2019-05-02 03:18:19 +08:00
@irblu 好像有点暴力 关闭 ssh
Ayersneo
2019-05-02 03:26:11 +08:00
@zhuzhibin 关 22 不代表关 ssh 啊
ochatokori
2019-05-02 03:38:42 +08:00
你得先确定是不是被 ssh 被暴力破解啊
你说宣传了网站被黑也有可能是你的网站后端程序有越权漏洞

不过已经重装了也晚了
建议这个也检查一下
2kCS5c0b0ITXE5k2
2019-05-02 05:19:16 +08:00
@irblu redis mysql 都不要对外开放接口
nine
2019-05-02 05:28:48 +08:00
看看 redis 里有没有 cron 任务
xiadong1994
2019-05-02 05:55:23 +08:00
@irblu 用 private key 登陆也被破?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/560438

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX