关闭

linux云服务器被暴破感染bioset

来源:网络 文章列表 2022-11-08 8
背景 某一天上服务器发现,cpu 使用率达到100%,而都是系统(sy)进程在占用,top命令如下: 由此得知:使用top命令并不能看到是那个进程在吃cpu,显然是感染病毒了,系统命令的动态

背景

某一天上服务器发现,cpu 使用率达到100%,而都是系统(sy)进程在占用,top命令如下:

由此得知:使用top命令并不能看到是那个进程在吃cpu,显然是感染病毒了,系统命令的动态库被劫持了,或是进程被隐藏了。

排查过程

unhide

这里我使用:unhide 查看被隐藏的进程

病毒更是修改了我们python的权限,导致我们不能使用yum命令

 

busybox

BusyBox 是很多标准 Linux® 工具的一个单个可执行实现。BusyBox 包含了一些简单的工具,例如 cat 和 echo,还包含了一些更大、更复杂的工具,例如 grep、find、mount 以及 telnet(不过它的选项比传统的版本要少)

防止非法用户替换原有命令,导致执行命令时同时执行恶意程序。(选做)

#vim /root/.bash_profile
alias busybox="/root/busybox"
alias top=“busybox top”
alias ls=“busybox ls”
alias ps=“busybox ps”
alias rm=“busybox rm”
alias cat=“busybox cat”
alias lsattr=“busybox lsattr”
alias chattr=“busybox chattr”
alias grep=“busybox grep”
alias vi=“busybox vi”

安装 busybox

wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64 --no-check-certificate
chmod +x busybox-x86_64
mv busybox-x86_64 /usr/local/bin/

使用 busybox top 查看

使用 busybox top 发现了 bioset 病毒

根据PID查看进程运行状态,可见此病毒程序的路径。

systemctl status 94395

解决方案

于是尝试将杀死进程和删除文件均无效,文件已经被隐藏且锁定。

在尝试数次后终于将病毒文件删除,具体命令见下图。由于文件被加上了 i 属性,无法直接删除,尝试用chattr命令移除 i 属性。

在成功删除后对 bioset 进程杀死,进程没有重新启动,top 查看负载已经降低。

总结

病毒非常狡猾拦截篡改了系统动态库,导致我们使用top,ps等命令是查看不到病毒的进程的,这时就需要使用busybox、unhide等工具协助我们排除。
不过由于被篡改的文件较多,所以最后还是选择了重装系统,平时还是要多注意服务器安全防护,防止服务器上数据泄露,以免服务器被攻击成为肉鸡。
有些地方表达不是很专业,不过过程还是很有意思的。

支付宝到店红包

腾讯云限量秒杀

1核2G 5M 50元/年 2核4G 8M 74元/年 4核8G 5M 818元/年 CDN流量包 100GB 9元

版权声明

本站部分原创文章,部分文章整理自网络。如有转载的文章侵犯了您的版权,请联系站长删除处理。如果您有优质文章,欢迎发稿给我们!联系站长:
愿本站的内容能为您的学习、工作带来绵薄之力。

评论

  • 随机获取
点击刷新
精彩评论