Linux主机被入侵系列1：主机被抓做矿机的处置办法---乱码进程耗费CPU，杀掉自动重启

末蓝、 2022-02-28 06:52 272阅读 0赞

1、现象

某台测试环境主机，root口令简单，某天被发现某进程（进程名为乱码，类似：wswdkfreuo，查看进程执行的命令为常用系统命令，如who、ls、top、route -n等）极耗CPU，杀掉后分分钟再次出现，进程名变更成其他乱码。

2、排查

查看进程相关文件：lsof -p 8054

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70][]

该进程通过TCP与远程主机连接。

查看相关命令为最近创建：ls -lrt /user/bin/

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 1][]

检查crontab，发现多出一条记录：cat /etc/crontab

![20190325094858681.png][]

查看gcc.sh

![20190325094907392.png][]

像这种头部没注释（一般系统文件都会带有较长的注释，还有License之类的），创建时间又不长的文件，极大概率就是病毒。然后可以看见，这个文件将 libudev.so 不断复制，这么来看，病原体主要就是这个文件。

3、处置

1）修改root口令为强口令

2）注释掉crontab相关记录

3）删除gcc.sh

4）检查/etc/init.d目录，/etc/rc\#.d/目录下的所有文件，通过创建日期和进程名判断该启动项是否为病毒，删除之。也可以通过内容查看是否为病毒，一般病毒文件里面内容短小，并且写法一样，如下图：

/etc/init.d目录

![20190325095018477.png][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 2][]

/etc/rc0.d/、/etc/rc1.d/

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 3][]

5）删除/usr/bin下程序文件，一般启动文件都是当天创建的，把/bin目录下的当天创建的启动项删掉就好；

查找最近一天的文件：find dir -mtime -1

6）重启服务器，到这里按道理一开始病毒没有通过守护进程开机启动的话，就不会再启动了，这时候再把libudev.so删掉，就没有问题了。

这里也可以不用重启服务器，在删除gcc.sh的前提下，一并执行下列命令：

rm -f libudev.so ;chattr +i /lib;kill -9 34279 最后这个进程id为挖矿进程id

执行完后，再次检查上述3-5步操作；

完了别忘记解除对lib目录的限制：chattr -i /lib

保险起见，最好再重启下看看。

4、不当处置

删除gcc.sh后直接杀掉挖矿进程：将启动新的挖矿进程，并重新生成gcc.sh;

删除gcc.sh后直接删除libudev.so：将重新生成libudev.so，挖矿进程应该在监控该文件

别指望同时执行删除libudev.so和杀进程能搞定，我已经试过了，不行。

参考：[https://blog.csdn.net/yinanmo5569/article/details/79940788][https_blog.csdn.net_yinanmo5569_article_details_79940788]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70]: /images/20220228/d400ec43ecac4959a2c51c30bfa85746.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 1]: /images/20220228/08482dff88644b00b4b942d5a869f9f9.png
[20190325094858681.png]: /images/20220228/5f7e5e1cd61141838a3a18c97714f9b4.png
[20190325094907392.png]: /images/20220228/70f4f8b1c692427fa0463639ca76fa41.png
[20190325095018477.png]: /images/20220228/b3d207b18de64a9f8e3eba2c88e48661.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 2]: /images/20220228/606d0e23f8b84c7aa8f2a6d1f50e2086.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwODA5NTQ5_size_16_color_FFFFFF_t_70 3]: /images/20220228/0343e93d3af849f8a9a1cf636c654cb3.png
[https_blog.csdn.net_yinanmo5569_article_details_79940788]: https://blog.csdn.net/yinanmo5569/article/details/79940788