很早很早之前就注意到云服务器有挖矿程序,但是因为对我没什么影响,又一直挺忙的,就没去管了。想着等有时间了好好排查下渗透路径呢。最近给我发通知说再不清除挖矿程序就要被关服务器了,被迫来看看怎么清除。

首先top以下,很明显一个cpu资源占用90%以上的程序xii,看看目录是/var/temp/.wintsk,再看看用户是ftpuser,基本也就明白了

我之前搭建wordpress需要升级,所以就临时弄了个vsftp作为ftp服务器供wp升级来用。为了省事,考虑到反正服务器有防火墙,我又没对公网开放ftp端口,就没对权限什么的做限制。没想到还是中招了,目前还是不明白怎么中找的,可能不是从公网,是从其他云服务器扫描到我的?

这个挖矿程序也不算是病毒吧,逻辑十分简单,目录下面就三个文件。一个config挖矿配置文件,一个挖矿的可执行文件,一个shell脚本,检测到挖矿程序停了就拉起来。然后把这个shell程序注册到cron里面

清除的话,就把cron清理一下,然后把挖矿程序给kill就行了。

今天学到了个挺有用的命令pstree

想看某个进程的父进程的话,比如这个进程的pid是12345 就输入pstree -aps 12345就行了。显示得很直观

吐槽一下,ps命令的选项是真的乱,跟看天书一样。。 ps -aux 和ps aux还不一样

还是没搞懂渗透路径。估计不是通过wp来利用的ftp就是用云服务器之间内网渗透?

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注