服务器挖矿 linux居然清理了挖矿病毒kthreaddi

故事背景

收到最新的报警信息，一直提示服务器CPU 100%。然后我登录服务器服务器挖矿，用top查看没有进程占用CPU。我的第一直觉是最高指挥部被篡改了。需要其他工具。

安装

系统有问题。如果登录后发现一条正常的命令找不到问题，很有可能是该命令被篡改了。

是一款软件，集成了300多个最常用的Linux命令和工具，包括我需要的top命令。

> busybox top

我终于看到了这个过程。我上网查了一下服务器挖矿，这个东西叫门罗挖矿木马。伪装的实现太好了，和系统中的正常流程太相似了。

清理门罗挖矿木马

先试试正常的方法

> kill -9 6282 

过了一会又醒来，说明有守护进程

查看系统中的定时任务

> crontab -l

0 * * * * /tmp/sXsdc

我发现了这个，乍一看不是什么好东西，把它清理干净服务器挖矿，-e dd :wq！一次操作后观察了一会服务器挖矿，发现0 * * * * /tmp/xss00服务器挖矿，可执行程序的名字也变了。处理这个好像没什么用。这些文件是二进制的，可以直接打开查看，什么也看不到。

进入内核数据目录找到它

> ls -al ll  /proc/6282 

6282是刚才的挖矿过程

原来tmp下有一篇文章服务器挖矿，不过是，不管先看什么

> /tmp/.dHyUxCd/

> ls -al

.json 包含一些配置，并在其中找到一个美国 IP

清除病毒摘要

本次服务器被挖矿服务器挖矿，可能是没有TLS通信加密，也可能是redis的弱密码，被黑了。先停止它（在花时间启用 TLS 进行安全配置之后），增加 redis 密码的强度。

原文链接：