CentOS7 下处理挖矿僵尸网络dota3木马攻击

CentOS7 下处理挖矿僵尸网络dota3木马攻击

先登录阿里云后台,查看安全中心的告警祥情,发现有几条记录:

root账号,登录服务器,排查问题。

查看服务器有无可疑的TCP端口:

没有发现非常用端口。

根据告警信息,拿进程id找对应的进程,一个都没有找到。

一、立刻做几个操作:

1. 修改user_web密码(当前服务器除了root,就只有user_web授权ssh登录);
2. 修改root密码,禁止root的ssh登录(只能先登录user_web,再切到root账号);
3. 清掉root, user_web目录下.ssh/authorized_keys 里面所有公钥(禁止所有密钥登录);

然后,再一步步来查。
没有找到对应的进程,看下是不是有crontab,定时执行,执行完进程就退出,找不到告警时的进程id。

二、查找服务器所有账号的crontab:

发现了crontab,脚本在user_web目录。

– 立刻删除 /home/user_web/目录下,crontab使用的 和 不认识的隐藏目录。
– 查看是不是user_web账号起的crontab:

果然是user_web起的。清理user_web下所有的crontab。

三、查找还有没有使用user_web账号运行的进程:

找到了user_web执行的进程,脚本文件所在的路径,在 /tmp/ 目录下的隐藏文件。

先杀掉进程:

进入目录:

进入目录,查看包括隐藏文件在内的所有文件:

删掉隐藏目录:

四、根据告警中出现的进程路径/usr/bin/bash,再次查找sh脚本进程:

又找到了几个可疑的进程。查看进程信息,找进程执行路径cwd,对应的执行命令cmd:

找到进程脚本路径,杀掉进程,再删掉脚本文件所在的文件夹:

至此,清理完毕。

后续: 加强异地登录的告警,强化账号登录的认证,添加部署谷歌验证器(Google Authenticator) 

后记,观察几天,再没有收到阿里云的告警信息。

附sh脚本源码,请勿违法实验,仅供学习研究:

Leave a Reply

Your email address will not be published. Required fields are marked *