今天,公司服务器被发现有异常进程,总是出现进程被杀掉。后来发现有些异常进程异常活跃。想着平时对linux服务器还算是比较了解的前提下,试试趟这趟浑水。
首先干掉进程,发现过段时间它又会起来,这时候想到 cron 定时任务,因此去查查 /etc/cron* 下的相关配置,凸(艹皿艹 ),发现好多不认识的东西,尝试删除
rm -rf crontab*
结果是没有权限删除, 大哥,我是 root 哦,我不能删除我想要的文件?为啥?
看看是不是只读fs,发现就这几个文件不是rw的,其他都可以操作。
好吧,我先看看你这定时任务是啥?
vim /etc/crontab
貌似是定时执行某个脚本,进入脚本看看,发现他回去下载某个 ntpd 的脚本,然后使其可执行,并执行,看上去像是个有预谋的东西哦。
好吧,我们进一步看看他到底想干啥,先下这个叫 ntpd 的脚本看看在说,
ntpd内容
我了个去,这是个有预谋的啊,里面有个很少用的命令哦, chattr 命令,这个不是用来修改文件属性的么?
lsattr /etc/crontab
确实有变化哦,好吧,你怎么操作的,我给你都反向来一边即可,在backdoor里面,发现居然有修改 .ssh 目录,反了天咯,赶紧删掉。哈哈
里面出现了 stratum+tcp:// 协议字样,好像是挖矿协议,哈哈,让我抓着了吧,嘻嘻
后来查了查,貌似好多人遇到过哦, 原来是 redis 漏洞哦
