清除挖矿病毒

Security

记录一次挖矿病毒的处理,组里有一个4卡RTX3090的服务器被攻击了,在内网使用,可能的原因是搞了一个frp内网穿透。

前情

服务器有一段时间没用了,nvidia-smi发现有程序在运行,kill之后过一分钟又启动了。分析是被病毒攻击了。为了方便没有开启防火墙,就先把防火墙开了,结果连不上网了,ssh也用不了,由于服务器在机房统一管理,没办法继续弄了,过了几天约了机房管理才去弄的。启动防火墙的时候开启了22端口,而且也ping不通,感觉是病毒弄的,自动关机了?

清理

  • 由于之前dell服务器的idrac没有配置好,不能远程连接。这次弄好了远程管理,连上之后发现并没有关机。
  • 这次nvidia-smi命令,显卡中尽然没有程序在运行,应该是上次打开ufw防火墙之后,病毒连不上矿场服务器把挖矿关了,隐藏起来了。
  • 继续找病毒,top命令,观察了一下发现了一个命名不正常的进程188a39a055
    title
  • 看一下这个进程的具体情况,ps -ef | grep 32771命令,真的是一个挖矿进程,正在挖ETH,钱包是0xe1c3167bbd1dd3affbc4807808b2cf54f695b2af,而且用的是鱼池。
    title
  • 打开鱼池f2pool看了一下,还挺肥。还有三台在运行。
    title
  • 然后kill -9清理了一下进程,过一分钟又打开了,进程名称还变了。是有一个守护父进程吗?但是父进程是1,应该不是。然后通过crontab -l看了一下没有定时启动的条目。
  • 通过pwdx pid查看了一下进程的启动位置,是根目录/
  • 打开/proc/pid,看一下这个进程的信息,启动目录在/根目录,程序位置是在/usr/bin下,但是被删除了,隐藏的挺深呀。
    title
  • 看一下进程的启动信息systemctl status pid,可以得到两个信息:(1)启动程序是一个定时服务,所以关闭后还是会启动,定时服务在/lib/systemd/system/incircers.service中;(2)启动的病毒程序在/usr/sbin/lorin-sopt
    title
  • 打开看一下,是一个60秒的定时服务
    title
  • 看一下启动的程序,11月04日就植入了,隐藏的时间还挺长的,之前登录都没有看到呀。
    title
  • 然后把服务和程序都删除了,等了几分钟果然没有进程再启动了。进入/root目录下,发现.ssh/authotrized_keys建了一个秘钥,应该是便于以后登录留的后门,rm直接删还删不掉,发现还有文件属性的问题,通过chattr命令更改i属性后可以删除。

参考
参考

后记

  • 病毒终于删除掉了,试试重启后有没有问题,然而。。。
  • 重新开机后一直卡在ubuntu的开机界面几分钟没反应,就强制关机重启了一次,结果再也启动不了了,开机直接进入了grub rescue模式,查看目录发现,根目录下的东西/bin/boot等都被删除了,完了这下只能重装系统了。折腾了一天还是输了。
    title

grub rescue参考
idrac远程重装系统参考

Title:清除挖矿病毒

Author:zzm

Created:2021-12-26, 14:56:38

Updated:2021-12-28, 00:02:18

Full URL:http://blog.zhengmingz.top/2021/12/26/Security-Mine-Virus/

License: "CC BY-NC-SA 4.0" Keep Link & Author if Distribute.

Contents
  1. 1. 前情
  2. 2. 清理
  3. 3. 后记
|