【号外】-watchbog挖矿中毒记

简介: 阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

image.png

阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机

这个进程是watchbog,是一个挖矿脚本,系统还有几个类似的进程叫watchdog,这个进程CPU占用不高,这是正常的阿里云监控进程。

最初发现这个问题,只是把这个进程杀掉了,但一会就会起来。

往阿里云发了一个工单,工单回复:

1、登陆服务器执行  crontab -l  看下是否存在异常计划任务。查看 var/spool/cron/目录下是否存在异常文件或目录。
2、使用   top  命令查针对看异常占用 CPU的进程 PID
3、执行  ll /proc/PID号/exe  查看该进程是哪些程序启动的。如该进程不是您安装部署的程序请您删除程序对应文件,kill -9 杀死对应进程。
建议您操作前想创建好快照备份。

系统当时的定时任务是这样:

几个链接打开来,是一段base64编码,解码后是一段脚本,这就是恶意脚本

后来网上也找了一个脚本

#!/usr/bin/env bash
#author      : Jam < liujianhncn@gmail.com >
#version     : 1.0
#description : 本脚本主要用来清理watchbog服务
tmp="/tmp/.watchbog.log"
_clearPid(){
    pids=$(ps -ef | grep pastebin | grep curl | awk '{print $2}')
    test $pids && echo $pids | xargs kill -9 && echo "成功删除pastbin进程 $pids"
    ps -ef | grep watchbog | grep -v grep > $tmp
    pids=$(awk '{print $2}' $tmp)
    echo "查看watchbog进程信息:" && cat $tmp
    test "$pids" && echo $pids | xargs kill -9
    ps -ef | grep watchbog | grep -v grep
}
echo "准备删除watchbog"
_clearPid
echo "查看当前cron文件"
find /etc -maxdepth 2 -name oanacroane -exec rm -f {} \;
cd /etc/cron.d && sed -i '/curl.*pastebin.com/d' *
crontab -l
crontab -r
echo "查看删除之后的crontab"
crontab -l
_clearPid

它的主要工作也是杀死进程,删除定时任务

上面两个都做完后,服务器重启,挖矿进程确实没起来,我们还挺高兴,以为就这样解决了

但是,第二天,挖矿进程又死灰复燃

我们当时想先把端口访问设置指定IP,这样应该不会再从网上下载恶意脚本半夜偷偷执行了,然后再执行了一次清理恶意程序的脚本

但当把服务器时间设置为凌晨1点后,一会挖矿脚本居然还是执行了,定时任务也都又有了。。。这下好尴尬

后来想过把服务器重装,这样就需要装很多程序,又有很多数据,这也是最后没办法的办法了

解决办法

把系统的定时任务停掉,

systemctl stop crond

修改服务器时间后,挖矿脚本没有再执行

也有同事说,自己写个脚本每次快到凌晨的时候,把时间修改掉,我认为如果能知道挖矿脚本定时执行的时间段,这也是一个可行的办法,你可以分析下,这是恶意脚本的地址:https://pastebin.com/raw/vvuYb1GC

总结

这次实际上是没有彻底清理挖矿病毒的,也没有知道病毒是通过什么途径注入的,比较遗憾


相关文章
|
2月前
|
缓存 监控 安全
服务器荣获挖矿病毒,该如何处理?
【9月更文挑战第2天】若服务器不幸感染挖矿病毒,应立即断开网络连接,防止扩散;使用监控工具查找异常进程和文件,并全面扫描确认位置;谨慎删除病毒文件和进程,修复系统漏洞,安装最新补丁;加强安全防护,安装杀毒软件和防火墙,监控性能活动;最后从备份恢复数据,测试服务功能,确保正常运行。处理过程需谨慎耐心,强化安全管理。
455 3
|
安全 NoSQL JavaScript
糟糕!我的服务器CPU被黑客挖矿了
糟糕!我的服务器CPU被黑客挖矿了
273 0
|
监控 安全 网络协议
黑客控制肉鸡三大利剑工具一次性全部学会
黑客控制肉鸡三大利剑工具一次性全部学会
350 0
|
云安全 安全 开发工具
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
148 0
|
安全 NoSQL Shell
服务器挖矿木马解决办法与预防措施
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。
541 0
服务器挖矿木马解决办法与预防措施
|
缓存 安全 关系型数据库
服务器被挖矿木马攻击该怎么处理
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。
520 0
服务器被挖矿木马攻击该怎么处理
|
安全 NoSQL 应用服务中间件
记一次服务器被植入挖矿木马cpu飙升200%解决过程
线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。
6402 0
|
运维 安全 区块链
资源消耗异常,竟是因为比特币挖矿木马
上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-600美元的比特币赎金,成为刷屏级新闻。然而你知道,除了勒索病毒,比特币还有挖矿木马吗?
|
安全
网站长期被挂马 访问者屡遭木马侵害
据瑞星“云安全”系统监测,6月3日,“星空剧场”、“中国制造网”、“北京市路政局房山公路分局”等视频、商务和政府网站被黑客挂马,用户浏览这些网站后,会感染木马病毒:Worm.Win32.VB.vl(VB代理蠕虫),导致文件受损并下载大量木马。
938 0
|
安全 网络协议 Shell
查杀 libudev.so 和 XMR 挖矿程序记录
本次有多台服务器感染病毒,造成了不小的影响,主要的问题是因为 root 用户使用了强度较弱的口令,同时在公网暴露了 SSH 端口,另外虚拟机的基础镜像中就已经携带了病毒,造成每个产生的实例启动后都带上了病毒。
5503 0