阿里云云監控到有兩台redis伺服器cpu被某程序消耗400%cpu資源
系統檢視top 情況並未找到高消耗程序x7但cpu100%ni
netstat 查詢到了一些異常請求,初步判斷出元件被提權入侵了
嘗試查詢異常程序x7關聯的檔案,排查還在/etc/hosts發現增加了如下異常對映,檢視相關異常檔案內容後進一步確定問題,挖礦程式~
unhide工具掃瞄/proc後也看到了隱藏程序
挖礦修改了centos 的動態鏈結庫配置檔案ld.so.preload內容並引用了/usr/local/lib/libjdk.so,開始top未查找到異常程序是由於該病毒涉及到 linux 動態鏈結庫預載入機制,是一種常用的程序隱藏方法,而 top 等命令都是受這個機制影響的,所以一開始並未看到相關程序。
清理完成後,top已經可以看到之前隱藏程序
lsof進一步檢視該程序開啟了哪些相關檔案,問題定位清楚了,直接刪除相關病毒檔案 ,清理相關程序,調整 /etc/hosts檔案,cpu回歸正常負載,細查crontab暫時未發現非正常任務,觀察狀態。
問題主要由於使用root啟動了redis導致被爆提權而後引起這一系列的後果...靜思前後,任重道遠~
linux程序隱藏
1.系統命令替換,通過stat檢視檔案狀態修改,md5sum檢視hash是否匹配,如果要修復,將正常檔案複製回來即可。2.hook系統呼叫,在呼叫鏈中修改惡意庫,造成惡意呼叫實現隱藏。查詢此類 通過sysdig proc.name ps檢視ps的呼叫 找到惡意的動態庫即可。也可以檢視環境變數ld p...
Linux 程序隱藏之摘鏈隱藏
0x01 先說說一般程序隱藏程序的常見方式,這裡就直接引用大佬的辣 1.1 使用者級rootkit 通過ld preload來hook libc庫,從而過濾 proc pid目錄 1.2 核心級rootkit 通過hook系統呼叫getdents getdents64或者hook 檔案file op...
顯示 隱藏 隱藏檔案
顯示隱藏檔案 開啟終端,輸入命令 該命令將finder的隱藏檔案顯示出來,並重新啟動finder。隱藏隱藏檔案 開啟終端,輸入命令 該命令將finder的隱藏檔案隱藏出來,並重新啟動finder。顯示以.開頭的檔案 在finder中,按快捷鍵command shift 可以顯示隱藏檔案 資料夾,再按...