挖矿病毒消灭记二
参考:
接上篇《挖矿病毒消灭记》
项目场景:
叮咚,一条短信打破了安静平和的氛围。
啊?咋又被挖矿了,现在在外面,回头要赶紧把进程关了
问题描述
回到家赶紧打开电脑输入命令行top,果然不出所料cpu飙升到200%,找到pid,然后kill -9 pid号
过程分析:
提示:这里填写问题的分析:
首先按照之前的经验我先全局搜索了xmrig,find / -name "*xmrig*"然而一无所获。
接着我去我的crontab定时任务看看,也没有啥异常啊
再看了下阿里云告诉我的
看了下syncnet文件,里面全是二进制文件,感觉看不出啥,于是我在想是不是每次发项目时候拉了远程的jdk17,那里面有病毒?抱着怀疑的想法周一在公司搞了一上午没有太大进展,通过clamav也没查出来啥,我甚至还拟定了服务器维护计划,如下
- 换我服务器的暴露端口号
- 使用本地image
- 换redis密码
- 禁用root登录
- clamav安装
- 木马查杀
下午时候先看看别的报警吧,有多少要修复的给自己心里有点数。
看了下“可疑”这个tab,出现了一个可疑下载,再细致一看,
怎么是我的项目java -jar xxx.jar里面触发的,这个意思是我项目一启动就触发了这个下载,这下载的是啥,追到容器里,根据路径打开这个sh脚本
是下载的一个sh脚本,并重命名成.00.sh放到了/tmp下,跟着去看下这里面写的什么
我去,这特么不就是阿里报给我的门罗币么,感觉找到问题根源了~
再回看下其他两个sh脚本里写的啥
说白了就是给这个挖矿脚本铺路的,好了根源就是这些脚本,那为啥我的服务器会有这些sh脚本呢,哪里来的呢,我平时也没下什么东西到服务器上啊。
看了下这个路径/home/sadmin/jenkins/logs/application/xxx-core/gluesource/很显然这路径跟xxl跑不了干系,对比了下我配置xxl的logPath路径,咦,发现这个多了个gluesource这个文件夹,攻击脚本就是在这个文件夹里头的,
解决方案:
于是我百度了下“gluesource病毒”找到这位老哥的文章,哦原来是xxl有个漏洞,黑客可能通过这个漏洞攻击了我xxl服务器,看老哥的建议说换个端口号和指定ip访问,看了下阿里云那果然之前设置的是0.0.0.0,修改成我的服务器ip,重启下,再进容器到/home/sadmin/jenkins/logs/application/xxx-core/gluesource/里面没有执行脚本了,emmm就先放两天观察观察,特记录下
相关文章
子母钟系统,安徽京准助力高考精准时间 子母钟系统,安徽京准助力高考精准时间 京准电子科...03-18
京准电钟:NTP校时服务器于安防监控系统应用方案 京准电钟:NTP校时服务器于安防监控系统应...03-18
参考视频:https://www.bilibili.com/video/BV1itwgeHEEk/?spm_id_from=333.1387.upload.video_card.click&vd_source=e9...03-18
京准电钟:NTP精密时钟服务器在自动化系统中的作用 京准电钟:NTP精密时钟服务器在自动化系...03-18
EWM181-Z12S简易型zigbee3.0模块的技术解析与应用指南
一、产品概述:重新定义低功耗无线通信 EWM181-Z12S是简单易用型工业级ZigBee3.0无线模块,支持...03-18
这里要说的是,用户登录密码属于用户隐私数据。首先,隐私数据属于敏感数据,不能明文传...03-18
本文将介绍 TOPIAM 与 Wiki 集成步骤详细指南。 应用简介 Wiki.js 是一款高度可定制...03-18- 官方下载 夸克网盘 Kali Linux 2021.3具有以下优势: 增强的OpenSSL兼容性 扩大连接范围:重新配置...03-18
一.ELF文件结构 0x01什么是ELF文件 1.linux环境中,二进制可持性文件的类型是ELF(Executable and Link...03-18
京准电钟:北斗卫星校时器助力智慧电子政务系统 京准电钟:北斗卫星校时器助力智慧电子政...03-18
最新评论