centos清理挖矿病毒[crypto][pnscan]
新买的云服务器cpu占用100%,瞬间想到挖矿木马。
排查过程如下:
1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了
3、想到使用chattr -i /usr/bin/netstat,但提示没权限,执行lsattr命令后,发现其被赋予了i属性,不可修改
4、自己重新编译chattr
wget https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c gcc chattr.c -o chattr rm /usr/bin/chattr cp chattr /usr/bin/ chattr -ia /usr/bin/netstat chmod +x /usr/bin/netstat 发现名为[crypto],[pnscan]的进程可疑,查一下它访问的ip地址,发现是美国的,基本就是他了 whereis crypto whereis pnscan 删掉源文件 rm usr/local/bin/pnscan rm -rf /usr/share/[crypto]*
根据netstat -anptl
杀掉crypto,pnscan所有进程
查看定时任务
crontab -l
清理所有定时任务
中毒原因分析:
redis没设置密码,大意了,服务器忘了关闭redis端口了
