【号外】-watchbog挖矿中毒记

简介: 阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

image.png

阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

这个进程是watchbog,是一个挖矿脚本,系统还有几个类似的进程叫watchdog,这个进程CPU占用不高,这是正常的阿里云监控进程。

最初发现这个问题,只是把这个进程杀掉了,但一会就会起来。

往阿里云发了一个工单,工单回复:

1、登陆服务器执行  crontab -l  看下是否存在异常计划任务。查看 var/spool/cron/目录下是否存在异常文件或目录。
2、使用   top  命令查针对看异常占用 CPU的进程 PID
3、执行  ll /proc/PID号/exe  查看该进程是哪些程序启动的。如该进程不是您安装部署的程序请您删除程序对应文件,kill -9 杀死对应进程。
建议您操作前想创建好快照备份。

系统当时的定时任务是这样:

几个链接打开来,是一段base64编码,解码后是一段脚本,这就是恶意脚本

后来网上也找了一个脚本

#!/usr/bin/env bash
#author      : Jam < liujianhncn@gmail.com >
#version     : 1.0
#description : 本脚本主要用来清理watchbog服务
tmp="/tmp/.watchbog.log"
_clearPid(){
    pids=$(ps -ef | grep pastebin | grep curl | awk '{print $2}')
    test $pids && echo $pids | xargs kill -9 && echo "成功删除pastbin进程 $pids"
    ps -ef | grep watchbog | grep -v grep > $tmp
    pids=$(awk '{print $2}' $tmp)
    echo "查看watchbog进程信息:" && cat $tmp
    test "$pids" && echo $pids | xargs kill -9
    ps -ef | grep watchbog | grep -v grep
}
echo "准备删除watchbog"
_clearPid
echo "查看当前cron文件"
find /etc -maxdepth 2 -name oanacroane -exec rm -f {} \;
cd /etc/cron.d && sed -i '/curl.*pastebin.com/d' *
crontab -l
crontab -r
echo "查看删除之后的crontab"
crontab -l
_clearPid

它的主要工作也是杀死进程,删除定时任务

上面两个都做完后,服务器重启,挖矿进程确实没起来,我们还挺高兴,以为就这样解决了

但是,第二天,挖矿进程又死灰复燃

我们当时想先把端口访问设置指定IP,这样应该不会再从网上下载恶意脚本半夜偷偷执行了,然后再执行了一次清理恶意程序的脚本

但当把服务器时间设置为凌晨1点后,一会挖矿脚本居然还是执行了,定时任务也都又有了。。。这下好尴尬

后来想过把服务器重装,这样就需要装很多程序,又有很多数据,这也是最后没办法的办法了

解决办法

把系统的定时任务停掉,

systemctl stop crond

修改服务器时间后,挖矿脚本没有再执行

也有同事说,自己写个脚本每次快到凌晨的时候,把时间修改掉,我认为如果能知道挖矿脚本定时执行的时间段,这也是一个可行的办法,你可以分析下,这是恶意脚本的地址:https://pastebin.com/raw/vvuYb1GC

总结

这次实际上是没有彻底清理挖矿病毒的,也没有知道病毒是通过什么途径注入的,比较遗憾


相关文章
|
9月前
|
云安全 域名解析 安全
网站被攻击有什么办法呢?
网站为什么会遭遇DDoS攻击?德迅云安全SCDN如何有效防御DDoS攻击?
|
9月前
|
SQL 监控 安全
如何发现服务器被入侵了,服务器被入侵了该如何处理?
如何发现服务器被入侵了,服务器被入侵了该如何处理?
|
云安全 安全 开发工具
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
171 0
|
监控 安全 NoSQL
记一次服务器被挖矿木马攻击的经历
利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~
记一次服务器被挖矿木马攻击的经历
|
缓存 安全 关系型数据库
服务器被挖矿木马攻击该怎么处理
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。
541 0
服务器被挖矿木马攻击该怎么处理
|
安全 NoSQL Shell
服务器挖矿木马解决办法与预防措施
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。
570 0
服务器挖矿木马解决办法与预防措施
|
云安全 安全 网络安全
威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号。
2871 0
|
监控 安全 NoSQL
服务器被矿机程序攻击
事件经过 今天早上7:00,收到腾讯云监控发来基础监控告警:某台服务器的CPU利用率为100%。SSH登录到服务器正常,说明root密码还没有被更改,我最初怀疑有可能是DDos攻击。
1912 0
|
安全 Linux Apache
客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
3122 0

热门文章

最新文章