昨天下午下班前收到两条手机短信,一条是阿里云安全监控发现一次异常登录,另一条是发现挖矿程序恶意脚本执行。
当时我还在 ssh 连着服务器,top 查看了一下资源占用,发现 cpu 占用几乎 100%, 其中一个 mysqld 的进程占了很高。
查看 /etc/.x/目录发现了 xhide 文件和 mysqld 文件,还有其他的文件,尝试删除一个文件,结果报 Operation not permitted,lsattr 发现所有文件都有 i 属性,用 chattr -i 后就可以删掉所有文件。
用 lastb 查看最近登录失败的记录,发现最近几天每天都有一堆的登录尝试,感觉有可能被暴破了。
然后发现~/.ssh/authorized_keys 文件昨晚被改动过,添加了一行记录,一定是攻击者利用漏洞上传的可以免密登录,删除以绝后患。
用 crontab -l 查看定时任务没有发现异常。
上网查了一下这个是门罗币挖矿木马,详细分析参考:腾讯主机安全(云镜)捕获 WatchBogMiner 挖矿木马新变种,约 8000 台服务器受控挖矿
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.