水一篇挖矿清除记录

没有开场白，直接步入正题

某日，客户A部门反应，B部门在爆破他们的服务器，同时B部门反应A部门在爆破B部门服务器，于是乎工程师进行现场查看排查；

下图为A部门服务器当时的资源情况截图

跟进该进程，查看一下它的进程列表

然后就被我给kill掉了这个进程，并且在tmp目录下发现了相关的文件；但是问题当然是没解决，因为此次事件的流量出口很大，甚至对网关造成了影响，流量都阻塞了，并且根据当时的反应，此次事件是具备SSH爆破行为的，下图为当时的服务器上的tmp目录，发现的恶意脚本文件

他们具体有哪些作用，我们稍后分析；

而后去了客户B的部门，并且听到了服务器要起飞的声音，我毫不怀疑是不是风扇装服务器外卖它会飞起来。

当时的top查看资源占用情况，很令我疑惑，病毒似乎没怎么跑起来

然后查看了一下计划任务，在计划任务里看到了恶意样本的一些运行情况，好家伙，22分钟跑一次，并且在根路径下看到了对应的隐藏文件

查看样本信息，发现是base64编码格式

解码后，发现也是乱七八糟的东西，但是可以简单的看懂一些逻辑

可以看见，首先是看了一下用户id并且看了一下etc/passwd文件而后裁剪了一部分做了个切片处理，而后轮询DNS地址，探测出网情况，并访问多个tor地址并下载了什么东西，将下载的文件进行了chmod操作，还开启了socks5的9050端口，似乎在传输或者是接收什么东西(看样子似乎是把用户的信息包括id、ip信息、计划任务等传上去了)，而后将东西传进/tmp/.X11-unix等目录下

刚刚我们提到了.sshx文件，该文件内容如下

其实这里面的文件，ip文件是该服务器爆破的ip记录，pw文件内容是口令密码；r0-r8是一些其他服务的用户名，功能应该是不仅仅是爆破ssh，可能还会对mysql、sqlserver等服务进行爆破，ss/ssh文件装的其实就是几个用户名，图忘记截了

当然了不能忘记去查看常规的计划任务文件

该目录下内容如下，该脚本为57分钟运行一次

最后要做的，是按照该类似规则进行全盘查找

最后做的当然是把他们都删掉了，凡是我看到chmod 777 的基本都被我删了，而后服务器重启数次，并运行了一个礼拜左右，发现问题没有再次出现，问题解决。

总结其实就是，服务器出现挖矿事件的时候，不仅仅需要清除病毒本体，同时需要进行计划任务的查看，重点关注tmp目录与etc目录下的各个计划任务文件，基本可以解决问题

------------------------------------------------------------------------------

公众号后台回复“加群”查看邀请链接

原文始发于微信公众号（每天一个入狱小技巧）：水一篇挖矿清除记录