記一次pwnrige挖礦病毒
阿新 • • 發佈:2022-03-23
# 今天一個客戶反應他的網站很慢, # 於是登陸他伺服器發現cpu被拉滿, # 可能就是中了挖礦的毒 # 先是通過 top 檢視,發現可疑程序 -bash # 但是程序都生命週期很短暫, # 基本是剛看清pid ,程序就結束了 # 然後就決定先修改一下ssh埠,為ssh登陸安全加固, # 把預設的22埠遮蔽, vim /etc/ssh/sshd_config # 找到 Port 22 ,在這一行前面加一個 #註釋掉, # 在下面一行寫上修改後的埠號 Port {port} # 儲存退出後 重啟ssh服務 service sshd restart # 接著查看了 ~/.ssh/ 目錄下,發現一個可疑檔案 ruckusapd # 把這個檔案刪除 # 這時發現 top 命令,顯示的-bash 可疑程序一直在運行了, 看到了程序號 # 通過程序ID檢視程序狀態 (詳情檢視下面截圖) systemctl status PID
# 找到了這個程序的載入檔案
/etc/systemd/system/pwnrige.service
# 也發現為什麼那個可疑程序執行完就被刪除的原因
# ExecStart=/bin/bash -c cp -f -r -- /bin/sysdr /bin/-bash 2>/dev/null && /bin/-bash -c >/dev/null 2>&1 && rm -rf -- /bin/-bash 2>/dev/null
# 找到病毒檔案並刪除,
rm -rf /bin/sysdr
# 停止並刪除相關服務
service stoppwnrige
rm -rf /etc/systemd/system/pwnrige.service
# 殺掉病毒程序
kill -9 PID