记录一次大半夜不睡觉入侵我服务器的黑客大人

2022年03月30日3:54分我开始写这个博客

起因是最近为了玩一些小测试，买了台服务器，然后给我的小徒弟用了。我猜测她电脑里本身就被人下木马了，所以自从她连上服务器之后怪事连连。

当然我不怪她，不知者无罪，另外我给服务器之后事情处理不好也是我自己的责任。只是大半夜被腾讯云搞醒实在是太不爽了。

之前最开始一天，我本身用这台2核4G的服务器装了台MySQL，但是装之后导入十五万条数据竟然3个小时都没导完，我就很奇怪，什么TMD数据你能给我导这么久的时间？

当时我一直在忙别的也没顾得上这事，过了几个小时偶然间看了眼服务器，好家伙，还没导完，我寻思可能服务器太差了？所以导入性能慢？但是再慢也不至于这种程度吧。

然后在Linux上打top命令。

top

出现了众多类似kswapd0 占用分区的命令如下所示。

并且其中大量出现各种linux任务调度的命令，多如牛毛，多到我靠kill -9 我都懒得杀的情况，然后我猜到有问题了。就放在这里了。顺便观察下他们的想法。

再后来大概过了三四个小时，出现了一系列command名为类似kthreaddi 的任务。当时我没截图，查到这个名字觉得怪异直接百度了一下，发现是某个挖矿脚本而已。我就直接kill掉，然后再想看看他们都会上去干啥。

其实我也隐隐之中有一种期盼，看看果实能涨多大。

给木马弄全了，养蛊。看看谁比较牛批用的服务器资源最多。

之前在一个妇幼保健院写代码的过程中，我的服务器也中过比特币勒索病毒，我还兴冲冲地和病毒照了张相。

这次我隐隐期望看看这些病毒都想干嘛，我又懒得翻代码，服务器上也没我任何重要东西。

结果大半夜的腾讯云给我发来短信。

另外这种挖矿脚本类木马，其威胁远小于比特币病毒，除了麻烦之外并不难解决，所以我也没当回事。

em 大半夜被吵醒是真的不爽，看到短信直接重装系统了。

但是腾讯云也挺不是东西的，给我发违规提醒。大哥我不睡觉吗？大半夜3点又邮件又短信连翻轰炸。你就不能自己检测一下那是木马还是我自己运行的？明知道是木马直接关了就完了呗。我感觉在阿里云好像就没出现过这种问题啊。

原来这挖矿软件最后的出路就是个批处理请求其他人redis默认端口号的程序。想不通这对你来说有啥好处？

这回也感谢你趁这个机会让我再次练习练习安全内容。以后我的测试环境请多多光临多多益善。

记录异常1。

top命令下，莫名出现大量Kworker/0之类的CPU占用率高的进程。

Kworker/0:0+events并不是木马的名字，而本身是linux正常的CPU处理，但关键点在于我这台服务器是一台近期并不活跃， 只有MySQL和Redis正在执行，且其中的MySQL和Redis都没有使用任何语句，所以不应该出现十几个kworker内容。 所以我当时很清楚这肯定是木马搞的鬼。 可以通过如下命令，回溯CPU最近10秒内被kworker浪费的资源。查到其中有异常command那必然中招了。

perf record -g -a sleep 10

记录异常2。

这次我猜测 木马是从我小徒弟电脑 通过SSH password 连接到服务器的原因是，她自己电脑本身就有问题，平常只开个IDEA，但是天天高CPU高内存的运行。windows电脑我也没办法。下图是她给我截图的。

只开了一个IDEA ，还只是练习DEMO的情况下，莫名CPU总跑到100，但是查进程，查内存，查任务调度还查不到太多内容，拿火绒倒是搜出来了一些木马，但是有些隐藏太深了我也没办法，只能日后等她再次重装系统了。可怜。

记录异常3。

top下莫名出现一个kswapd0名称的命令。并且占用CPU接近满额。不过内存没消耗多少，CPU占满。

你TM想不引起我的注意都难！

我想吐槽下你既然是个木马你名字能不能不要起的这么随意，虽然长的像kworker或kthreaddd但是偏差也太大了，而且这名我一百度直接就查到你是木马了。你连点伪装都没有你是不是瞧不起我啊？

经过查询是XMRig编译的Linux平台门罗币挖矿木马了。从linux的cron任务调度上可以看到好多/root下和/tmp下我不认识的任务调度，并且清一色不打日志写着 >/dev/null 。

在网上看了下分析他们的启动脚本

这shell也就平平无奇嘛，就是具体这个kswapd0文件被加密了。

那没事了好滴很。

总结一下需要做的事。

1. 赶紧改密码。
2. 检查cron里是不是出现大量不归你设置的。查看/etc/crontab，/etc/cron.d，/etc/cron.daily，cron.hourly/，cron.monthly，cron.weekly/是否存在可疑脚本或程序。
3. top看下最近哪些耗费最多，尤其worker之类的，另外有没有你不认识的。
4. 使用last命令查看下服务器近期登录的账户记录，确认是否有 狗IP 登录过机器：
5. less /var/log/secure|grep 'Accepted'命令，查看是否有 狗IP 成功登录机器;
6. 检查系统所用的管理端口（SSH、FTP、MySQL、Redis 等）是否为默认端口，这些默认端口往往被容易自动化的工具进行爆破成功。
7. 编辑/etc/ssh/sshd_config文件中的 Port 22，将22修改为非默认端口，修改之后需要重启 ssh 服务。
8. 运行/etc/init.d/sshd restart（CentOS）或 /etc/init.d/ssh restart（Debian / Ubuntu）命令重启使配置生效。
9. 修改 FTP、MySQL、Redis 等的程序配置文件的默认监听端口21、3306、6379为其他端口。
10. 限制远程登录的 IP，编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制 IP。
11. 检查/etc/passwd文件，看是否有非授权帐户登录：
12. 使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户名。
13. 运行netstat -antp，查看服务器是否有未被授权的端口被监听，查看下对应的 pid。若发现有非授权进程，可运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的 pid 号），查看下 pid 所对应的进程文件路径。
14. 使用chkconfig --list和cat /etc/rc.local命令，查看开机启动项中是否有异常的启动服务。如发现有恶意进程，可使用chkconfig 服务名 off命令关闭，同时检查/etc/rc.local中是否有异常项目，如有请注释掉。
15. 使用非 root 帐户运行，可以保障在应用程序被攻陷后，攻击者无法立即远程控制服务器，减少攻击损失。
16. 运行chown -R apache:apache /var/www/xxxx、chmod -R 750 file1.txt命令配置网站访问权限。设置网站目录权限为750，750是 centos 用户对目录拥有读写执行的权限，设置后，centos 用户可以在任何目录下创建文件，用户组有有读执行权限，这样才能进入目录，其它用户没有任何权限。