[{"createTime":1735734952000,"id":1,"img":"hwy_ms_500_252.jpeg","link":"https://activity.huaweicloud.com/cps.html?fromacct=261f35b6-af54-4511-a2ca-910fa15905d1&utm_source=V1g3MDY4NTY=&utm_medium=cps&utm_campaign=201905","name":"华为云秒杀","status":9,"txt":"华为云38元秒杀","type":1,"updateTime":1735747411000,"userId":3},{"createTime":1736173885000,"id":2,"img":"txy_480_300.png","link":"https://cloud.tencent.com/act/cps/redirect?redirect=1077&cps_key=edb15096bfff75effaaa8c8bb66138bd&from=console","name":"腾讯云秒杀","status":9,"txt":"腾讯云限量秒杀","type":1,"updateTime":1736173885000,"userId":3},{"createTime":1736177492000,"id":3,"img":"aly_251_140.png","link":"https://www.aliyun.com/minisite/goods?userCode=pwp8kmv3","memo":"","name":"阿里云","status":9,"txt":"阿里云2折起","type":1,"updateTime":1736177492000,"userId":3},{"createTime":1735660800000,"id":4,"img":"vultr_560_300.png","link":"https://www.vultr.com/?ref=9603742-8H","name":"Vultr","status":9,"txt":"Vultr送$100","type":1,"updateTime":1735660800000,"userId":3},{"createTime":1735660800000,"id":5,"img":"jdy_663_320.jpg","link":"https://3.cn/2ay1-e5t","name":"京东云","status":9,"txt":"京东云特惠专区","type":1,"updateTime":1735660800000,"userId":3},{"createTime":1735660800000,"id":6,"img":"new_ads.png","link":"https://www.iodraw.com/ads","name":"发布广告","status":9,"txt":"发布广告","type":1,"updateTime":1735660800000,"userId":3},{"createTime":1735660800000,"id":7,"img":"yun_910_50.png","link":"https://activity.huaweicloud.com/discount_area_v5/index.html?fromacct=261f35b6-af54-4511-a2ca-910fa15905d1&utm_source=aXhpYW95YW5nOA===&utm_medium=cps&utm_campaign=201905","name":"底部","status":9,"txt":"高性能云服务器2折起","type":2,"updateTime":1735660800000,"userId":3}]
wnTKYg进程发现
*
执行top
会发现此进程。
wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。
* 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]#
cat authorized_keys [root@zfr ~]# cat known_hosts
看看是否登录了我的帐号,我在这两个文件中没有发现我不认识的IP,于是我就放过了这两个文件。
* 查找挖矿进程
其次,我想找一下这个病毒存在的路径。执行了个命令:
find / -name wnTKYg*
或者在top下,按C 就可以显示这个路径了。
发现这个wnTKYg 的程序在/tmp 下。
处理挖矿病毒
直接kill掉这个进程,发现没到2分钟,又发现他重启了。于是猜是否有守护进程存在。
继续观察top以及和/tmp路径下的文件进行对比。发现了有ddg.2003、ddg.2004
两个陌生的程序。于是判断这两个可能为守护进程文件。清除后发现隔几分钟又会重新启动。我猜想可能会有定时任务。
* 检查定时任务
排查了第一个定时任务的地址:
vi /etc/crontab
发现里面只有我自己设置的定时任务。
我就把全文搜索了下crontab
find / -name crontabs find / -name crontab
于是我又发现了一个路径/var/spool/cron 非常可疑!
* 查看文件
我先看了下root文件
/var/spool/cron/crontabs文件夹下的root文件
都做了一个定时任务,向一个固定的IP下载一个i.sh的脚本.
我用浏览器访问了下这个IP:
发现里面有病毒和几个脚本。
下载了这个i.sh这个脚本。
就是把定时任务加到对应的目录文件。定时从某IP下载脚本,给守护进程文件加上执行权限。
我搜索了下find / -name i.sh 但是并没有找到这个脚本。我把这两个root文件里面的定时任务都给注释掉了。
因为我不知道这个程序是不是通过扫描/var/spool/cron/crontabs 这个路径,来创建定时任务的,所以没有把它删除掉,只是禁掉了。
结果
我再kill掉这个病毒的进程和守护进程,并且把/tmp路径下的对应的程序删除掉。
观察了top一段时间,发现此病毒暂时没有复发。