概述
最近上班忙,好久没打开服务器后台检查了。终于周末有空看一下,发现cpu占用很大,虽然跑着一些业务,但是远不到跑满的地步。于是检查。进入后台首先发现了有人暴力破解我的ssh。
Last failed login: Sun Apr 9 13:15:13 CST 2023 from 165.154.43.143 on ssh:notty
There were 24684 failed login attempts since the last successful login.
Last login: Sun Mar 26 11:09:00 2023 from 27.184.*.*然后用top命令查一下
MiB Mem : 3731.4 total, 107.1 free, 3174.7 used, 449.6 buff/cache
MiB Swap: 4096.0 total, 2400.5 free, 1695.5 used. 335.7 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2955029 postgres 20 0 2438508 2.3g 4 S 99.0 62.9 511:55.04 kswapd0
1842 redis 20 0 65172 6648 232 S 0.3 0.2 60:10.76 redis-server
2990956 root 20 0 65444 4364 3732 R 0.3 0.1 0:00.02 top
1 root 20 0 181068 3912 2200 S 0.0 0.1 5:54.46 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.29 kthreadd 刚开始一查,哦史正常命令,猜想可能是服务器卡死了吧,重启应该会好。然而好了没两天呢
又开始了。后来查询可能是挖矿病毒。那只能想办法杀毒了。先庆幸一下他用的不是root账户的权限,只是底下当时配置数据库的用户。把用户先禁止掉。然后开始杀毒。
首先查找病毒位置
# find -name "kswapd0"
./tmp/.X2m-unix/.rsync/a/kswapd0找到病毒目录了就删掉就好。但是为啥禁止后会自启呢。经过查询用到了计划任务脚本。脚本位置在
/var/spool/cron/
# cat /var/spool/cron/postgres
5 6 * * 0 /var/lib/pgsql/.configrc5/a/upd>/dev/null 2>&1
@reboot /var/lib/pgsql/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /var/lib/pgsql/.configrc5/b/sync>/dev/null 2>&1
@reboot /var/lib/pgsql/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X2m-unix/.rsync/c/aptitude>/dev/null 2>&1行吧,计划任务设计的还挺周密的
然后删除掉计划任务和相关文件。
待续观察现象。。。。
Comments NOTHING