标签 kswapd0挖矿病毒 下的文章 - NianSir's BLOG

【Linux安防】偶遇kswapd0伪装挖矿病毒   近段时间生活繁忙，连博客都懒得更了，一面是为即将到来的大一生活做准备，一面是想找点事锻炼一下自己。   同大多数人一样，在经历紧张而又刺激的高考后，NianSir也开始了那个哇塞到不行的暑假生活，硬是嘻嘻嘻哈哈玩了两个月啥也没做。之前的宏伟计划全都抛之脑后。   咱想着这也下去也不是个办法，寻思在这个所谓最轻松的暑假干点正事，比方说——先赚他一个亿！比方说学点有用的东西，#缘由   在网络上摸了两三年鱼的我认识了几个年纪相差不大的小伙子，组建了一个并不成熟的小团队——陌辞网络（MoCi NET），凭借着摸鱼得到的一点建站运营经验，NianSir顺利成为了陌辞论坛创始人之一，平时没事的时就上陌辞论坛看看最近坛友们都在吹些啥，顺便把签到给点了。可无奈坛友就是你坛友，你大爷终究是你大爷，我堂堂一名创始人签到次数比坛友少那么多，这可对不住我的uid啊，于是我想：要是有个东西可以自动帮我签到就好了。  欸？等等..自动签到？这还不简单嘛，我盯着我一台位于香港的备用机器，这个机器拿来跑小脚本最适合不过了，于是我利用Cookie很快就搞定了一个简易的签到脚本，只要设置每天的定时任务就行了，这岂不是美滋滋~# 发现异端  这种美滋滋一直持续到今天，我逛论坛时无意间发现签到榜里面我还没签到，我很淡定的判断是Cookie过期导致的问题，悠哉游哉打开审查元素，打算Copy一份新的Cookie信息过去，结果发现Cookie还未过期！   我感觉怪怪的，难道是机制变了？不对啊，我可没设置啥，我带着疑惑登录了服务器面板（我用的宝塔面板）发现异常的卡，好不容易进去了，我滴个乖乖，CPU占用100%，再一看！！Nginx都罢工了？！？我二话不说打开了进程管理，让俺看看是哪个玩意在这蛮横，一个名为kswapd0的进程占用率就达到了99%，这还了得？直接给结束掉，果然CPU瞬间就降了下来，可好景不长，还没来得及高兴，这个进程又开始捣乱了，这次直接整得我面板都加载不了了，我意识到事情没那么简单，这个进程可不是个善茬，我急忙找度娘求助，这下可好了，这玩意竟然是个挖矿病毒！难怪这么吃CPU和宽带，这个病毒是来自亡命徒（Outlaw）僵尸网络的挖矿病毒，最早于2018年发现，在2020年中国大范围企业Linux服务器受害，直到现在，这个狡猾的病毒依然活跃在全球范围内，主要进程kswapd0负责进行门罗币挖矿，tsm32、tsm64负责继续SSH爆破攻击传播病毒。  我心里一凉，上个月刚写的99乘法表代码就这么没了，没有任何安防经验的我似乎看见了那个鬼面具黑斗篷的人正在疯狂的敲打着键盘，一串串神秘字符向我袭来...欸！醒醒！你CPU都要冒烟了！  我没有再犹豫，咬了咬牙，为了保住我的99乘法表，搏一搏，单车变摩托！我开始认真分析这个病毒了。# 缉拿病毒  这不是在开玩笑，是的，我要把它揪出来，无论它在哪，在得到这种莫名的鼓舞后，我开始和它展开斗争了。  登录服务器面板，很不例外的失效了，卡的根本进不去，于是我重启了服务器，在病毒还没有完全开始霸占我的CPU时，我找到了它——那个想伪装成系统文件的kswapd0，位于root/.configrc/目录下很顺利的把它删除了但我还是隐隐感到不安，我觉得事情并没有那么简单，去补充了更多知识后，我的猜想得到了证实——它们早就有了备用方案——建立了自动执行任务，并且安置了后门，以便更方便的引进病毒，但是很不好意思，今天你遇到我了，出来吧！你这个看似人畜无害的rsync！ 这个玩意直接先k掉进程就好了，趁着它还没反应过来，咱们打开SSH，这时我突然想起，这些病毒一般为了便于传播，侵占服务器后都会预留一个sshkey用于必要时的登录，咱们也不废话，直接去文件里面找到它。为了保险起见，我们可以问问度娘：  果不其然，这正是病毒的key，咱们把这个直接删除就好，顺便吧ssh登录密码改复杂，防止再次被破。  接下来我们查看是否被病毒预留了计划任务，ssh输入crontab -e -u root看着这熟悉的路径名称，咱们直接删除保存即可。我们可以最后再检查一次进程，输入top看到kswapd0进程ID变成30并且父进程为kthreadd就说明正常啦~大功告成啦！对于本次时间，我给大家的提议如下：第一，不要设置简单的ssh密码，尽量更改22默认端口。第二，不要随意使用破解程序，这些很多后面都藏有后门。第三，要有定时备份的好习惯呐~好啦，今天的分享就到这里啦，有啥疑问欢迎留言讨论！如有错误恳请大佬指点！谢谢支持~