记一次服务器被挖矿木马攻击的经历

背景

利用空余时间买了台服务器做了个小网站玩&＃xff0c;今天访问了一下&＃xff0c;加载巨慢&＃xff0c;一看服务器运行情况&＃xff0c;CPU飙到100%&＃xff0c;按CPU消耗排序&＃xff0c;排在第一的是一个名为“imWBR1”的进程&＃xff0c;查了一下是一个挖矿木马&＃xff0c;于是赶紧采取办法~

清除恶意程序

首先比较直观的是imWBR1这个进程&＃xff0c;查找它的位置在/tmp/目录下&＃xff0c;如下图&＃xff1a;

&＃xff08;图2&＃xff09;
先删除/tmp/imWBR1&＃xff0c;再kill掉imWBR1进程。在上图2中&＃xff0c;除了imWBR1&＃xff0c;看到还有一个进程&＃xff0c;主要目的是从下载imWBR1这个程序&＃xff0c;它可能是imWBR1的守护进程&＃xff0c;果不其然&＃xff0c;过了一会&＃xff0c;imWBR1又“活”了&＃xff0c;应该就是这个守护进程搞的鬼&＃xff0c;找到该进程的名字为“ddg.2021”&＃xff1a;

对应的文件同在/tmp/目录下&＃xff0c;名为“ddg.2021”&＃xff0c;同样删除文件&＃xff0c;kill掉该进程。

但是过了一会&＃xff0c;这两个小东西又出现了&＃xff0c;可能是利用定时任务在不断重启服务&＃xff0c;看了下定时任务&＃xff0c;果然在我的定时任务里动了手脚&＃xff1a;

crontab -e 删除这两个定时任务&＃xff0c;顺便禁掉218.248.40.228这两个IP&＃xff0c;终于解决了。

木马来历

最后说下&＃xff0c;这个木马是怎么进来的呢&＃xff0c;查了一下原来是利用Redis端口漏洞进来的&＃xff0c;它可以对未授权访问redis的服务器登录&＃xff0c;定时下载并执行脚本&＃xff0c;脚本下载imWBR1和ddg文件并运行&＃xff0c;imWBR1挖矿&＃xff0c;ddg进行系统监控、远程调用、内网传播等。所以除了执行上述操作&＃xff0c;还要把未授权的redis服务设置密码&＃xff0c;修改端口号等&＃xff0c;防止再次被入侵。

参考文章&＃xff1a;
1、清除wnTKYg 这个挖矿工木马的过程讲述
2、比特币挖矿木马Ddg分析

【 转载请注明出处——胡玉洋《记一次服务器被挖矿木马攻击的经历》】