事情是这样的,我今天早上醒来手机上收到了来自腾讯云的通知,说我服务器中木马,于是我来到腾讯云控制台查看了一下,发现了5个病毒文件。
我的第一反应便是中挖矿病毒了,于是我顺便查看了一下服务器监控情况。果不其然,CPU直接跑满了。
于是我赶紧登陆了服务器,top一下了解一下具体情况。
原来是这个名为kswapd0的程序登陆了我创建的zookeeper用户在疯狂的跑着我服务器的CPU。
于是我便上网搜了一下kswapd0,经过查证,这玩意是一个perl脚本,通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。
结果我便想到了,我本来用来玩转zookeeper而创建的zookeeper用户,账号密码都是zookeeper,而zookeeper客户端开启默认端口2181我也未进行修改。
我尝试登陆zookeeper用户,结果发现密码竟然不正确。好家伙,竟然还修改了我密码,于是我便通过root用户使用passwd 命令重置了一下该用户密码。
接着,我使用netstat -anltp|grep kswapd0命令查看了一下kswapd0进程的对外端口,IP竟然来自荷兰。
因为我zookeeper服务端是一直开着的,也不难想象为什么会中病毒了。
病毒处理
- 杀死进程:
- 删除腾讯云控制台显示的木马程序所在的文件夹
- 将木马文件进一步隔离
可以看到,CPU的使用率已经变得正常了。
总结
- 服务器不要使用弱密码连接;
- 不要轻易开放服务器端口。
来源:oschina
链接:https://my.oschina.net/u/4398646/blog/4919577