【号外】-watchbog挖矿中毒记

简介: 阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

image.png

阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

这个进程是watchbog,是一个挖矿脚本,系统还有几个类似的进程叫watchdog,这个进程CPU占用不高,这是正常的阿里云监控进程。

最初发现这个问题,只是把这个进程杀掉了,但一会就会起来。

往阿里云发了一个工单,工单回复:

1、登陆服务器执行  crontab -l  看下是否存在异常计划任务。查看 var/spool/cron/目录下是否存在异常文件或目录。
2、使用   top  命令查针对看异常占用 CPU的进程 PID
3、执行  ll /proc/PID号/exe  查看该进程是哪些程序启动的。如该进程不是您安装部署的程序请您删除程序对应文件,kill -9 杀死对应进程。
建议您操作前想创建好快照备份。

系统当时的定时任务是这样:

几个链接打开来,是一段base64编码,解码后是一段脚本,这就是恶意脚本

后来网上也找了一个脚本

#!/usr/bin/env bash
#author      : Jam < liujianhncn@gmail.com >
#version     : 1.0
#description : 本脚本主要用来清理watchbog服务
tmp="/tmp/.watchbog.log"
_clearPid(){
    pids=$(ps -ef | grep pastebin | grep curl | awk '{print $2}')
    test $pids && echo $pids | xargs kill -9 && echo "成功删除pastbin进程 $pids"
    ps -ef | grep watchbog | grep -v grep > $tmp
    pids=$(awk '{print $2}' $tmp)
    echo "查看watchbog进程信息:" && cat $tmp
    test "$pids" && echo $pids | xargs kill -9
    ps -ef | grep watchbog | grep -v grep
}
echo "准备删除watchbog"
_clearPid
echo "查看当前cron文件"
find /etc -maxdepth 2 -name oanacroane -exec rm -f {} \;
cd /etc/cron.d && sed -i '/curl.*pastebin.com/d' *
crontab -l
crontab -r
echo "查看删除之后的crontab"
crontab -l
_clearPid

它的主要工作也是杀死进程,删除定时任务

上面两个都做完后,服务器重启,挖矿进程确实没起来,我们还挺高兴,以为就这样解决了

但是,第二天,挖矿进程又死灰复燃

我们当时想先把端口访问设置指定IP,这样应该不会再从网上下载恶意脚本半夜偷偷执行了,然后再执行了一次清理恶意程序的脚本

但当把服务器时间设置为凌晨1点后,一会挖矿脚本居然还是执行了,定时任务也都又有了。。。这下好尴尬

后来想过把服务器重装,这样就需要装很多程序,又有很多数据,这也是最后没办法的办法了

解决办法

把系统的定时任务停掉,

systemctl stop crond

修改服务器时间后,挖矿脚本没有再执行

也有同事说,自己写个脚本每次快到凌晨的时候,把时间修改掉,我认为如果能知道挖矿脚本定时执行的时间段,这也是一个可行的办法,你可以分析下,这是恶意脚本的地址:https://pastebin.com/raw/vvuYb1GC

总结

这次实际上是没有彻底清理挖矿病毒的,也没有知道病毒是通过什么途径注入的,比较遗憾


相关文章
|
安全 NoSQL JavaScript
糟糕!我的服务器CPU被黑客挖矿了
糟糕!我的服务器CPU被黑客挖矿了
269 0
|
监控 安全 网络协议
黑客控制肉鸡三大利剑工具一次性全部学会
黑客控制肉鸡三大利剑工具一次性全部学会
318 0
|
云安全 安全 开发工具
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
144 0
|
缓存 安全 关系型数据库
服务器被挖矿木马攻击该怎么处理
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。
516 0
服务器被挖矿木马攻击该怎么处理
|
安全 NoSQL 应用服务中间件
记一次服务器被植入挖矿木马cpu飙升200%解决过程
线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。
6397 0
|
安全
网站长期被挂马 访问者屡遭木马侵害
据瑞星“云安全”系统监测,6月3日,“星空剧场”、“中国制造网”、“北京市路政局房山公路分局”等视频、商务和政府网站被黑客挂马,用户浏览这些网站后,会感染木马病毒:Worm.Win32.VB.vl(VB代理蠕虫),导致文件受损并下载大量木马。
936 0
|
监控 安全
防范自动连接国外黑客服务器的“古董”病毒
上海计算机病毒防范服务中心预警,近期一种名为“古董感染虫变种”的危险病毒在网上爆发,用户电脑一旦被感染,该病毒会自动连接国外黑客服务器,对系统安全和个人资料产生威胁,计算机用户需严加防范。 据介绍,这是一种感染型病毒,它能对可执行文件和脚本文件进行感染,然后执行远程控制与自动访问网站的任务。
934 0
|
安全 网络协议 Shell
查杀 libudev.so 和 XMR 挖矿程序记录
本次有多台服务器感染病毒,造成了不小的影响,主要的问题是因为 root 用户使用了强度较弱的口令,同时在公网暴露了 SSH 端口,另外虚拟机的基础镜像中就已经携带了病毒,造成每个产生的实例启动后都带上了病毒。
5500 0
|
监控 安全 NoSQL
服务器被矿机程序攻击
事件经过 今天早上7:00,收到腾讯云监控发来基础监控告警:某台服务器的CPU利用率为100%。SSH登录到服务器正常,说明root密码还没有被更改,我最初怀疑有可能是DDos攻击。
1902 0
|
安全 Linux Apache
客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
3097 0