雲伺服器 挖礦病毒crypto scan 針對docker2375監聽以及redis弱密碼的漏洞被挖礦

• 雲伺服器 挖礦病毒crypto scan 針對docker2375監聽以及redis弱密碼的漏洞被挖礦
  • 解決方案
    • 搜尋程序(htop)
    • 檢視使用者組以及crontab
    • 刪除使用者組以及crontab相關
    • 刪除masscan
    • 刪除/etc/.httpd/…/*以及/var/.httpd/…/* 以及/etc/newinit.sh等相關檔案
    • 刪除相關程序
    • 檢查authorized_keys是否異常並做刪除
    • 最後

解決方案

搜尋程序(htop)

看cpu佔用最高的程序(通常是ddns crypto 以及scan等),順著找到相關檔案所在,基於docker以及redis漏洞的病毒名稱為crypto

rm -rf /usr/share/*crypto*
rm -rf /usr/share/*scan*

檢視使用者組以及crontab

通常挖礦病毒會使用一個新的使用者進行部分操作,我的伺服器被新註冊了一個名為lsb的使用者,同時需要檢視指令碼是否新增了其他守護程序

cat /etc/passwd
cat /etc/group

crontab -l

刪除使用者組以及crontab相關

我伺服器中的病毒指令碼編寫者比較厲害,給絕大多數檔案以及可執行命令都用chattr進行了隱藏許可權的新增,新增後直接刪除了chattr這個命令,並且破壞了apt安裝的邏輯,導致要使用chattr需要安裝e2fsprogs,但是e2fsprogs的安裝必須修復apt,修復apt則必須修改使用者組,但是使用者組已經被新增許可權無法操作(哪怕是root使用者也不行),但是修改使用者組又必須使用chattr去掉隱藏許可權

這個閉環的解決方案是從其他任何一個正常的機器中從usr/bin/路徑下面複製出chattr可執行檔案,並拷貝入伺服器中,使用chmod 777 /path/to/your/chattr修改檔案屬性,並使用這個可執行檔案去進行操作,最好是直接採用chattr -Riae /path/to/lockedfiles這種遞迴的方式直接一次性去除某個資料夾下的所有被加了許可權的目錄以及可執行檔案(以root使用者執行任何常用命令但是顯示operation not permitted都可以用這個方式解決)

最後使用userdel xxx以及crontab -e刪除相關被病毒指令碼新增的內容,注意光刪除使用者是不夠的,使用者目錄仍然會保留,所以需要手動刪除/home/xxx

以root使用者執行cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}來檢視其他使用者下面是否還有其他的crontab程序

刪除masscan

病毒指令碼會安裝masscan(可能你的機器已經安裝過)並使用他來對其他公網ip進行掃描(也就是讓你的伺服器變成了中轉站)

因為部分病毒檔案刪除過早,我沒有找到相關的masscan配置檔案,但是可以確認的是不刪除/usr/bin/masscan或者masscan的配置檔案,你的機器就會一直被作用於掃描其他人的伺服器的埠,因此我直接選擇了刪除masscan

刪除/etc/.httpd/…/*以及/var/.httpd/…/* 以及/etc/newinit.sh等相關檔案

使用rm -rf命令進行刪除

注意以/etc/new*命名的有好幾個是病毒指令碼相關檔案,但是也不全是,注意區分刪除

刪除相關程序

通常包括systemd-journal以及/bin/bash /etc/.httpd/...和/var/.httpd/…等

ps:本人在做到這一步的時候哪怕刪除了上述後兩個程序也會自動再起來,但是crontab又已經確認刪乾淨了,之後不知道又做了什麼操作這兩個程序就不會再打開了

檢查authorized_keys是否異常並做刪除

最後

最好是以crypto scan ddns .httpd為關鍵詞直接全盤掃描 甄別後刪除

看過網上其他資料 還有docker被建立了其他映象或者命令被修改為其他名字的案例,需要注意

ps:找不到什麼程序在使用資料夾可以通過fuesr -uv /path的命令進行檢視