隔壁的服务器被人用来挖矿,让我帮忙看一下。每天10pm到6am运行,有人登录就自动停下来。ps/top/htop/lsof/ls 都看不到任何进程和相关的文件。只是在自动停的一瞬间显示有一个叫做htral的程序在运行。
费了很大功夫才找到这些恶意文件。有两个bash脚本放在 /usr/bin 下面。每次都是它们把一个 /usr/include 下面的 tok.h (实际上是一个binary执行命令)拷贝到 /tmp 下面运行,马上又从 /tmp 下面删除。同时,有一个隐藏在 /usr/lib/rpm 下面的内核模块,insmod 插入内核之后就会修改 ps/top/htop/lsof/ls 的输出,屏蔽相关的进程和文件。这个模块还有一个特征:自带一个命令,任何人运行就变成root。
删掉这些文件,以为就万事大吉。想不到晚上10点钟挖矿程序又启动了。再次搜索,发现 /var/tmp/.lock 下面5个恶意文件,其中两个脚本,一个类似的挖矿程序,一个库文件。脚本文件修改 /etc/ld.preload,强制load这个库文件,估计也是屏蔽 ps/top/htop/lsof/ls输出的。脚本还负责晚上10点运行、早上6点收工,以及监视是否有人登录。/
费了很大功夫才找到这些恶意文件。有两个bash脚本放在 /usr/bin 下面。每次都是它们把一个 /usr/include 下面的 tok.h (实际上是一个binary执行命令)拷贝到 /tmp 下面运行,马上又从 /tmp 下面删除。同时,有一个隐藏在 /usr/lib/rpm 下面的内核模块,insmod 插入内核之后就会修改 ps/top/htop/lsof/ls 的输出,屏蔽相关的进程和文件。这个模块还有一个特征:自带一个命令,任何人运行就变成root。
删掉这些文件,以为就万事大吉。想不到晚上10点钟挖矿程序又启动了。再次搜索,发现 /var/tmp/.lock 下面5个恶意文件,其中两个脚本,一个类似的挖矿程序,一个库文件。脚本文件修改 /etc/ld.preload,强制load这个库文件,估计也是屏蔽 ps/top/htop/lsof/ls输出的。脚本还负责晚上10点运行、早上6点收工,以及监视是否有人登录。/
