最近在跑实验,但是突然发现程序运行变慢,然后top命令查看程序运行情况,发现有异常进程,名字叫 bash,占用 2400% CPU计算资源。
刚开始怀疑是挖矿程序,因实验室网络IP为教育网公网,怀疑被攻击,网上查了些资料,并参考了下面博客:
记一次服务器被挖矿程序占用的解决过程_dabao87的博客-CSDN博客_服务器被挖矿blog.csdn.net
通过搜索这个进程名字,发现异常文件 /var/tmp/.bash/bash
find / -name bash
打开这个脚本,发现脚本语言如下:
#!/bin/bash
cd -- /var/tmp/.bash
mkdir -- .bash
cp -f -- x86_64 .bash/bash
./.bash/bash -k -c
rm -rf .bash
这个分明是不断消耗CPU资源,不断递归创建删除文件的恶意脚本,将脚本文件删除之后,用kill命令将程序id杀死后计算机恢复。因为前期实验室密码设置的过于简单,重新修改了密码,提醒大家如果服务器IP是公网IP要谨慎一些。
事情还没完,太讨厌了
更新,在下午解决问题之后以为服务器好了,但是晚上又出现了新的 bash进程,在咨询了遇到同样问题的老哥 @yr15 之后,得知有可能被设置了定时任务,cron定时启动bash命令。
可以看到这个脚本是2020年10月20号写入的。把他删了希望完事了。太讨厌了!!
再更,解决后第二天它又出现了,没错是又出现了~~,然后差点想重装系统,最后试了一下将定时服务关闭,将进程杀死。
停止定时任务命令:
service crond stop可能是定时任务里面保存了那个脚本的相关东西,现在好像一天没有出现了。
再更:
病毒换了策略,它建立了一个tcp连接来入侵我们电脑,但是为什么会这样还没整清楚
netstat -anp | grep bash
tcp 0 0 ***.***.91.12:35910 51.79.73.21:80 ESTABLISHED 25782/-bash
这个ip 51.79.73.21:80 是加拿大的。
开启了防火墙:
root@xuan:~# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
root@xuan:~# sudo ufw deny 35910
Rule added
Rule added (v6)
root@xuan:~# sudo ufw status
Status: activeTo Action From
-- ------ ----
35910 DENY Anywhere
35910 (v6) DENY Anywhere (v6) 禁止那个ip tcp连接
sudo ufw deny from 51.79.73.21root@xuan:~# netstat -anp | grep bash
tcp 0 0 **.30..7*9:36024 51.79.73.21:80 ESTABLISHED 810/-bash
lsof -p 810
->eugen.whitehat.at:http (ESTABLISHED)
