2.查看进程发现是挖矿进程在执行
3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本
4.查看虚机密码是否被破解登录
5.查找挖矿文件
6.检查定时任务脚本
jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
服务器CPU使用率50%,被两个进程占用,名称分别为-mysql
zfsutils-md5sum
使用crontab -l查看定时任务,发现病毒文件-mysql
查看这个/var/.log/目录,发现更多病毒文件,-mysql是个脚本,内容如下
查看/etc/crontab.daily目录,发现一个文件名为ntpdate
/bin/sysprg创建日期与ntupdate是同一天,文件大小与x86_64相同,无疑也是个病毒文件。
进入到/var/spool/cron目录查看文件权限,发现被加了保护,使用lsattr去除,再编辑删除内容即可
禁用crontab
云服务器中挖矿病毒的清除过程(一)
云服务器中挖矿病毒的清除过程(二)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)