近段时间生活繁忙,连博客都懒得更了,一面是为即将到来的大一生活做准备,一面是想找点事锻炼一下自己。
同大多数人一样,在经历紧张而又刺激的高考后,NianSir也开始了那个哇塞到不行的暑假生活,硬是嘻嘻嘻哈哈玩了两个月啥也没做。之前的宏伟计划全都抛之脑后。
咱想着这也下去也不是个办法,寻思在这个所谓最轻松的暑假干点正事,比方说——先赚他一个亿!比方说学点有用的东西,
#缘由
在网络上摸了两三年鱼的我认识了几个年纪相差不大的小伙子,组建了一个并不成熟的小团队——陌辞网络(MoCi NET),凭借着摸鱼得到的一点建站运营经验,NianSir顺利成为了陌辞论坛创始人之一,平时没事的时就上陌辞论坛看看最近坛友们都在吹些啥,顺便把签到给点了。可无奈坛友就是你坛友,你大爷终究是你大爷,我堂堂一名创始人签到次数比坛友少那么多,这可对不住我的uid啊,于是我想:要是有个东西可以自动帮我签到就好了。
欸?等等..自动签到?这还不简单嘛,我盯着我一台位于香港的备用机器,这个机器拿来跑小脚本最适合不过了,于是我利用Cookie很快就搞定了一个简易的签到脚本,只要设置每天的定时任务就行了,这岂不是美滋滋~
# 发现异端
这种美滋滋一直持续到今天,我逛论坛时无意间发现签到榜里面我还没签到,我很淡定的判断是Cookie过期导致的问题,悠哉游哉打开审查元素,打算Copy一份新的Cookie信息过去,结果发现Cookie还未过期!
我感觉怪怪的,难道是机制变了?不对啊,我可没设置啥,我带着疑惑登录了服务器面板(我用的宝塔面板)发现异常的卡,好不容易进去了,我滴个乖乖,CPU占用100%,再一看!!Nginx都罢工了?!?我二话不说打开了进程管理,让俺看看是哪个玩意在这蛮横,一个名为kswapd0的进程占用率就达到了99%,这还了得?直接给结束掉,果然CPU瞬间就降了下来,可好景不长,还没来得及高兴,这个进程又开始捣乱了,这次直接整得我面板都加载不了了,我意识到事情没那么简单,这个进程可不是个善茬,我急忙找度娘求助,这下可好了,这玩意竟然是个挖矿病毒!难怪这么吃CPU和宽带,这个病毒是来自亡命徒(Outlaw)僵尸网络的挖矿病毒,最早于2018年发现,在2020年中国大范围企业Linux服务器受害,直到现在,这个狡猾的病毒依然活跃在全球范围内,主要进程kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。
我心里一凉,上个月刚写的
我没有再犹豫,咬了咬牙,为了保住我的
# 缉拿病毒
这不是在开玩笑,是的,我要把它揪出来,无论它在哪,在得到这种莫名的鼓舞后,我开始和它展开斗争了。
登录服务器面板,很不例外的失效了,卡的根本进不去,于是我重启了服务器,在病毒还没有完全开始霸占我的CPU时,我找到了它——那个想伪装成系统文件的kswapd0,位于root/.configrc/目录下
很顺利的把它删除了
但我还是隐隐感到不安,我觉得事情并没有那么简单,去补充了更多知识后,我的猜想得到了证实——它们早就有了备用方案——建立了自动执行任务,并且安置了后门,以便更方便的引进病毒,但是很不好意思,今天你遇到我了,出来吧!你这个看似人畜无害的rsync!
这个玩意直接先k掉进程就好了,趁着它还没反应过来,咱们打开SSH,这时我突然想起,这些病毒一般为了便于传播,侵占服务器后都会预留一个sshkey用于必要时的登录,咱们也不废话,直接去文件里面找到它。
为了保险起见,我们可以问问度娘:
果不其然,这正是病毒的key,咱们把这个直接删除就好,顺便吧ssh登录密码改复杂,防止再次被破。
接下来我们查看是否被病毒预留了计划任务,ssh输入crontab -e -u root
看着这熟悉的路径名称,咱们直接删除保存即可。
我们可以最后再检查一次进程,输入top
看到kswapd0进程ID变成30并且父进程为kthreadd就说明正常啦~
大功告成啦!对于本次时间,我给大家的提议如下:
第一,不要设置简单的ssh密码,尽量更改22默认端口。
第二,不要随意使用破解程序,这些很多后面都藏有后门。
第三,要有定时备份的好习惯呐~
好啦,今天的分享就到这里啦,有啥疑问欢迎留言讨论!如有错误恳请大佬指点!谢谢支持~
评论 (0)