阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录

简介: 阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录

前景介绍


接收到阿里云服务器CPU持续爆满告警,提示被挖矿病毒入侵

image.png


开始排查


1.使用top命令查看,服务器负载很高,top和ps无法查看到高占用进程,进程排查困难

2.使用unhide 搜索隐藏进程,最后发现是修改加载的so文件来实现隐藏进程,大致原理如下:

先说下ps、top等工具的工作原理
以ps工作原理为例说明这些进程信息查看工具的原理
我们知道/proc是一个虚拟文件系统,是VFS的一个实现形式,/proc中包含了内核信息,硬件信息,进程信息等
ps、top等工具就是通过分析/proc文件系统中进程相关目录的信息获取进程信息汇总。
HooK系统调用型的进程隐藏方式都是通过拦截或者迷惑ps等工具从/proc获取分析结果的过程
而不是针对/proc/文件系统生成本身。
修改方式有以下几种:
I、修改内核调用,比如getdents 的源码
II、修改libc库中readdir 函数的源码
III、利用环境变量LD_PRELOAD 或者配置ld.so.preload文件 以使的恶意的动态库先于系统标准库加载
以达到架空系统标准库中相关函数的目的,最终实现对特定进程的隐藏

3.此次入侵方式即为入侵者修改ld.so.preload文件,实现对进程的隐藏,经过实践,不删除httpd的话cpu利用率也是居高不下,故此判断,此图中httpd也为伪装病毒,详细如下:

cat /etc/ld.so.preload

image.png

4.并且通过netat命令查到一个美国IP通过80端口长时间进行了连接netstat -anp|grep ESTAB


处理过程


1.查看病毒位置

whereis pnscan

whereis xmrigMiner

whereis xmrigDaemon

whereis httpd

2.查出路径后首先直接删除文件,再杀进程,查出位置后使用chattr删除权限

cd 文件路径

因为病毒已经锁定了chattr,所以需执行如下操作

yum -y install e2fsprogs

3.开始删除

cd /usr/local/lib
chattr -ia pnscan.so
chattr -ia  xmrigMiner.so
chattr -ia xmrigDaemon.so
chattr -ia httpd.so
rm -rf xmrigMiner: /usr/lib/xmrigMiner
rm -rf xmrigDaemon: /usr/lib/xmrigDaemon
rm -rf httpd: /usr/lib/httpd
rm -rf xmrigMiner: /usr/local/lib/xmrigMiner
rm -rf xmrigDaemon: /usr/local/lib/xmrigDaemon
rm -rf httpd: /usr/local/lib/httpd
cd /usr/share/scripts/
rm -rf *

删除后会有如下报错:

ERROR: ld.so: object '/usr/local/lib/pnscan.so' from /etc/ld.so.preload cannot be preloaded: ignored.

继续执行
chattr -i /etc/ld.so.preload
rm /etc/ld.so.preload

执行完毕后,使用top查看进行PID并进行Kill-9杀掉进程,重启服务器

开机输入unhide proc,直到如下图所示即杀毒完成


image.png

再次查看CPU利用率"99id空闲率"

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
2月前
|
弹性计算 安全 Linux
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
阿里云国际版使用ping命令测试ECS云服务器不通的排查方法
|
2月前
|
弹性计算 数据安全/隐私保护 Windows
阿里云国际版无法远程连接Windows服务器的排查方法
阿里云国际版无法远程连接Windows服务器的排查方法
|
2月前
|
域名解析 弹性计算 安全
无法ping通ECS服务器公网IP的排查方法
无法ping通ECS服务器公网IP的排查方法
|
4月前
|
安全 Linux 文件存储
在Linux中,服务器开不了机怎么解决⼀步步的排查?
在Linux中,服务器开不了机怎么解决⼀步步的排查?
|
5月前
|
弹性计算 运维 Linux
云服务器 ECS产品使用问题之幻兽帕鲁服务器远程连接无法连通该如何排查
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
5月前
|
弹性计算 Linux 云计算
云服务器 ECS产品使用问题之未部署成功该如何进行排查
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
5月前
|
弹性计算 运维 定位技术
云服务器 ECS产品使用问题之通义灵码不稳定、反复出现回答超时,该如何排查?
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
4月前
|
微服务
【Azure Cloud Services】云服务频繁发生服务器崩溃的排查方案
【Azure Cloud Services】云服务频繁发生服务器崩溃的排查方案
|
7月前
|
监控 Linux Shell
【Linux技术专题】「夯实基本功系列」带你一同学习和实践操作Linux服务器必学的Shell指令(排查问题指令 - 下)
在线上排查问题时,查询日志、查看系统配置和分析操作系统信息是至关重要的。这些操作可以帮助我们深入了解软件和服务的兼容性,并解决潜在的问题。在本次学习中,我们将介绍并深入学习一些我在处理类似问题时常用的指令。通过掌握这些指令,你将能够更加高效地定位和解决线上问题,提高系统的稳定性和性能。让我们一同进入这个学习过程吧!
95 0
【Linux技术专题】「夯实基本功系列」带你一同学习和实践操作Linux服务器必学的Shell指令(排查问题指令 - 下)
|
6月前
|
机器学习/深度学习 人工智能 数据处理
人工智能平台PAI产品使用合集之PAI-DSW实例服务器ping不通google.com,该如何排查
阿里云人工智能平台PAI是一个功能强大、易于使用的AI开发平台,旨在降低AI开发门槛,加速创新,助力企业和开发者高效构建、部署和管理人工智能应用。其中包含了一系列相互协同的产品与服务,共同构成一个完整的人工智能开发与应用生态系统。以下是对PAI产品使用合集的概述,涵盖数据处理、模型开发、训练加速、模型部署及管理等多个环节。