起因

某天,发现一台服务器上出现了一个大量占用cpu资源的进程。尝试手动杀掉,但很快就会自动重新创建新的进程。

追查

用命令lsof -p 10316 查看其文件路径:

该进程文件夹/proc/10316下:



看到该文件夹下的exe文件是指向/var/tmp/.../Word,也就是文件夹名字就是"...",查看简要的信息:

其中:

cmdline — 启动当前进程的完整命令

environ — 当前进程的环境变量列表,彼此间用空字符(NULL)隔开;变量用大写字母表示,其值用小写字母表示

cwd — 指向当前进程运行目录的一个符号链接

exe — 指向启动当前进程的可执行文件(完整路径)的符号链接,通过/proc/N/exe可以启动当前进程的一个拷贝

文件介绍

查看cmdline文件发现:

说明这个进程是通过该命令启动的,通过查看进程状态也证实了这一点:

为了查找上面cpmg文件的路径,使用find命令find / -name cpmg49nhiCCK4u2Lvt2Y9Tasf8wpnkEYBoeVanWwuFJJRaHMhfPTr5C6QFb4,找到一大堆文件的路径:

文件路径基本都是来源于/proc/文件夹中。由于不了解具体是什么内容,我尝试代开其中一个查看:发现并没找到对应的文件,用sudo权限去查找,发现无法找到该cpmg开头的文件。

事情陷入了僵局。回到原处,尝试从启动进程的命令本身寻找线索。

postgres 10316  374  0.0 408984 13844 ?        Ssl  Aug29 202:19 sh                                                          cpmg49nhiCCK4u2Lvt2Y9Tasf8wpnkEYBoeVanWwuFJJRaHMhfPTr5C6QFb4 -o stratum+tcp://monerohash.com:5555 -p x -k -B -l Word.txt --donate-level=1

找到上述exe所指向的可执行文件Word,查看其目录发现:

Word是可执行文件,Word.txt是一个不断增长的类似于日志一样的文件,通过tail –f Word.txt的结果如下:

由此大概可以知道前面的启动命令是什么意思了,就是通过与其他机器建立连接,不断地上传数据。

但是仍然不知道它具体是怎么操作的,于是乎上谷歌查了一下stratum+tcp://monerohash.com:5555这个东西,发现有网友出现过相同的问题,另有网页1介绍:

原来是些挖矿的病毒程序,上面的情况说明了自己的服务器已经被别人用作挖矿了。相似的网站还有下面这些

stratum+tcp://mine.moneropool.com:8080

stratum+tcp://mine.moneropool.com:3336

stratum+tcp://xmr.hashinvest.net:443

stratum+tcp://xmr.hashinvest.net:5555

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://monerohash.com:5555

stratum+tcp://mine.xmr.unipool.pro:3333

stratum+tcp://xmr.prohash.net:5555

stratum+tcp://xmr.miner.center:2777

stratum+tcp://mine.xmr.unipool.pro:80

stratum+tcp://pool.minexmr.com:7777

stratum+tcp://cryptonotepool.org.uk:7777

stratum+tcp://mro.poolto.be:3000

这样基本可以定位这里就是挖矿程序的源头。

仔细分析其中的文件:

/var/tmp/…/a

cron.d文件

run文件

udp文件

x文件

基本可以定位它无法杀死的原因就是加入了一个随时的定时任务,一旦杀死就会自动重启。

查看该用户的定时任务列表,当前用户默认只能看到自己的定时任务,所以需要sudo。

sudo crontab –l –u postgres

确实发现了该定时任务:

crontab命令选项基本只有对用户操作的选项:

-u 指定一个用户

-l 列出某个用户的任务计划

-r 删除某个用户的任务

-e 编辑某个用户的任务

既然定位了问题,接下来就是解决该问题。

首先要做的就是删掉该定时任务:

sudo crontab –u postgres –r 删除

crontab命令

然后删掉对应的执行文件:

sudo rm –r …/

最后关停掉对应的所有该用户下的进程:

pkill –u postgres



kill -9 10316

至此该问题终于得到解决。

总结

是什么原因导致该病毒文件被放到服务器中?

现在想到的一种可能是登录用户的密码被破解了。由于前面涉及的用户是postgres,所以可能的情况是有人用默认的用户名和密码进行嗅探登录。幸亏该用户没有根权限。但是需要引起注意的就是:

1、 能不创建用户就不创建用户

2、 能禁止登录就禁止登录

3、 密码要尽量复杂

4、 变更默认端口防止嗅探

完。

一次Ubuntu下的排雷记录的更多相关文章

  1. ubuntu下定时弹窗记录工作日志

    背景 记录工作日志,是一个很好的习惯,但不容易坚持,本来打算每天记录,但经常拖延,拖着拖着,有一些事情就忘记了. 等到写周报或月报的时候,才会开始翻邮件,聊天记录,各个仓库的提交log等,回忆都干了些 ...

  2. ubuntu下eclipse 安装记录

    基本是参考:http://www.metsky.com/archives/611.html 完成. 中间遇到小问题,在此记录下,方便遇到同样问题的难友. 先说下快速打开命令行快捷键:Ctrl+Alt+ ...

  3. ubuntu 下安装docker 踩坑记录

    ubuntu 下安装docker 踩坑记录 # Setp : 移除旧版本Docker sudo apt-get remove docker docker-engine docker.io # Step ...

  4. 踩坑记录:ubuntu下,http代理无法修改的问题

    事情经过: 今天在ubuntu下使用http代理的时候,碰到一个奇怪的现象.就是在当前shell窗口下,输入“env  | grep proxy”,显示的http_proxy一直都存在,即使我修改了本 ...

  5. 记录Ubuntu下使用docker使用

    关键词:docker.Dockerfile等等. 这里主要记录Ubuntu下docker使用细节. 首先是如何安装,然后如何创建docker镜像.搭建docker服务器.运行使用docker. 1. ...

  6. [问题记录]Ubuntu下chmsee安装失败的解决

    日期:2016年2月26日 一直在找Ubuntu下查看chm的工具但是普遍不理想,发现在deepin中的chmsee相对比较好,但是直接执行网上的sudo apt-get install chmsee ...

  7. 在Ubuntu下搭建ASP.NET 5开发环境

    在Ubuntu下搭建ASP.NET 5开发环境 0x00 写在前面的废话 年底这段时间实在太忙了,各种事情都凑在这个时候,没时间去学习自己感兴趣的东西,所以博客也好就没写了.最近工作上有个小功能要做成 ...

  8. Ubuntu杂记——Ubuntu下安装VMware

    转战Ubuntu,不知道能坚持多久,但是自己还是要努力把转战过程中的学习到的给记录下来.这次就来记录一下,Ubuntu下如何安装VMware. 就我所知,Linux下有VirtualBox和VMwar ...

  9. Ubuntu下的PHP开发环境架设

    Ubuntu下的PHP开发环境架设   今天重新装了ubuntu那么就吧过程记录下. 打开终端,也就是命令提示符. 我们先来最小化组建安装,按照自己的需求一步一步装其他扩展.命令提示符输入如下命令: ...

随机推荐

  1. lintcode-100-删除排序数组中的重复数字

    100-删除排序数组中的重复数字 素只出现一次,并且返回新的数组的长度. 不要使用额外的数组空间,必须在原地没有额外空间的条件下完成. 样例 给出数组A =[1,1,2],你的函数应该返回长度2,此时 ...

  2. tomcat8 管理页面403 Access Denied的解决方法

      安装tomcat,配置好tomcat环境变量以后,访问manager app页面,出现403 Access Denied错误,解决的方法如下: 首先在conf/tomcat-users.xml文件 ...

  3. 【历史】- Unix英雄传:图文细数十五位计算机先驱

    Unix,一款多任务多用户操作系统,最早由AT&T公司员工及合作伙伴在贝尔实验室于1969年开发完成.Unix的衍生及克隆版本包括Berkeley Unix.Minix.Linux.AIX.A ...

  4. Chrome Extension & Dark Theme

    Chrome Extension & Dark Theme https://chrome.google.com/webstore/detail/eimadpbcbfnmbkopoojfekhn ...

  5. group by 分组后 返回的是一个同属性的集合

    group by 分组后 返回的是一个同属性的集合  我们可以遍历该集合

  6. 【bzoj4070】[Apio2015]雅加达的摩天楼 set+堆优化Dijkstra

    题目描述 印尼首都雅加达市有 N 座摩天楼,它们排列成一条直线,我们从左到右依次将它们编号为 0 到 N−1.除了这 N 座摩天楼外,雅加达市没有其他摩天楼. 有 M 只叫做 “doge” 的神秘生物 ...

  7. 魔法物品(magic.pas/c/cpp)

    有两种类型的物品:普通物品和魔法物品.普通物品没有魔法属性,而魔法物品拥有一些魔法属性.每种普通物品有一个价值P,但每种魔法物品有两种价值:鉴定前的价值P.和鉴定后的价值P2(当然,P2总是大于P.) ...

  8. Springboot2.0 集成shiro权限管理

    在springboot中结合shiro教程搭建权限管理,其中几个小细节的地方对新手不友好,伸手党更是无法直接运行代码,搭建过程容易遇坑,记录一下.关键的地方也给注释了. 版本:springboot版本 ...

  9. django自己搭建的博客

    1.博客地址: http://jiangtao4.pythonanywhere.com/ 2.后台可以发布笔记,可以翻页,数据存在MySQL里面 3.GitHub地址: https://github. ...

  10. Kafka自我学习2-Zookeeper cluster

    Test enviroment : zoo1, zoo2, zoo3 cluster 1. Install zookeeper, package in kafka [root@zoo1 ~]# pwd ...