最近收到了ISP发来的邮件,显示自己的ip发出了大量的ssh链接。那么肯定是有问题了。
从路由器开始查吧,翻log和连接状态发现, 这些连接都是NAS发出的。 一共3400多个,肯定不正常
登录NAS,
top 查看发现
2843 root 20 0 793988 16816 2648 S 26.5 3.3 148:58.35 .koworker
然后通过命令
netstat -natp
发现大量连接是通过: PID为 2843/koworker 生成的
应该是一个挖矿病毒
那么就着手开始清理吧
先杀掉那个进程
kill 2843
然后过了一会儿,它又出现了
31858 root 20 0 793732 7760 2028 S 16.5 1.5 0:07.82 .koworker
有问题。
查了一下crontab, NAS里面我是没有写过任何的cron命令的,但是现在有如下两条
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1 * * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
很好,至少给我指明了方向:
清除掉crontab
先去/usr/bin/中删除 .koworker
顺便看了一下这个文件夹中所有的隐藏文件,发现一个.cron, 内容和crontab的一样。一起删除了吧
然后去/root/中删除.tmp00文件夹
删除之前我还看了一下那个bash文件,里面全是乱码。如所料这是一个编译后的文件(非bash脚本)无法直接查看。
居然删不掉,会自动生成
重新看了一下crontab 第一行会自动生成
*/1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1
继续尝试
根据.tmp00中列出的文件
-rwxr-xr-x 1 root root 4193056 Oct 7 11:32 bash -rwxr-xr-x 1 root root 1463596 Oct 7 11:32 bash_arm -rw-rw-rw- 1 root root 0 Oct 7 11:32 bash.pid -rw-rw-rw- 1 root root 880 Oct 7 11:32 cfg -rw-rw-rw- 1 root root 880 Oct 7 11:32 cfgi -rw-rw-rw- 1 root root 36 Oct 7 11:32 uuid
先取消bash和bash_arm的执行权限
chmod -x *
然后杀掉进程bash 和 bash_arm
pkill bash pkill bash_arm
之后编辑.tmp00/bash随便删除几行,破坏掉它
继续编辑.tmp00/bash_arm, 同样破坏掉
再次尝试删除.tmp00
成功!
修改crontab
同样成功了
现在查看一下以下文件,是否同样被感染
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/system
/etc/cron.d/root
/etc/cron.hourly/oanacron
/etc/cron.daily/oanacron
/etc/cron.monthly/oanacron
/etc/cron.monthly/oanacron3
在/var/spool/cron/crontabs/发现除了root还有大量的tmp.[*]的文件
-rw------- 1 root crontab 300 Aug 24 2019 tmp.EavkeE -rw------- 1 root crontab 300 Nov 19 2019 tmp.eEA8ez -rw------- 1 root crontab 300 Sep 29 01:00 tmp.Ej7nqe -rw------- 1 root crontab 0 Jan 21 2020 tmp.F5H4lW -rw------- 1 root crontab 300 Sep 12 01:00 tmp.F6VTAO -rw------- 1 root crontab 300 Dec 21 2019 tmp.fbpyez -rw------- 1 root crontab 300 Jul 12 01:00 tmp.fDZPnF -rw------- 1 root crontab 300 Jan 10 2020 tmp.FhAMiv -rw------- 1 root crontab 300 May 14 01:00 tmp.fPStrS -rw------- 1 root crontab 300 May 7 01:00 tmp.FRVG1a -rw------- 1 root crontab 300 Jan 31 2020 tmp.g3u3hO -rw------- 1 root crontab 300 Feb 16 2020 tmp.GAV3gn -rw------- 1 root crontab 300 Sep 8 2019 tmp.GHnDOv -rw------- 1 root crontab 0 Sep 12 2019 tmp.gjpVBi -rw------- 1 root crontab 300 Oct 25 2019 tmp.Glp2y4 -rw------- 1 root crontab 300 Jun 12 01:00 tmp.gMNzXy -rw------- 1 root crontab 300 Oct 17 2019 tmp.GqBJOS -rw------- 1 root crontab 300 Mar 14 2020 tmp.Gthj5Y -rw------- 1 root crontab 300 Sep 2 01:00 tmp.h3uCzs -rw------- 1 root crontab 300 Jul 25 01:00 tmp.HF7YR1 -rw------- 1 root crontab 300 Mar 22 2020 tmp.HLXJ1R -rw------- 1 root crontab 300 Jan 22 2020 tmp.HqsHSV -rw------- 1 root crontab 300 Mar 16 2020 tmp.hyqbhF -rw------- 1 root crontab 300 Aug 28 2019 tmp.IF0DvV -rw------- 1 root crontab 300 Sep 20 01:00 tmp.imPp7K
里面内容是:(举例)
# DO NOT EDIT THIS FILE - edit the master and reinstall. # (- installed on Wed Apr 22 01:00:19 2020) # (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $) */1 * * * * export DISPLAY=:0 && /root/.tmp00/bash >/dev/null 2>&1 * * * * * nohup /usr/bin/.koworker 100 > /dev/null 2>&1 &
不用客气,全删了
应该差不多了
最后用 ClamAV 执行全盘扫描:
clamscan -r --bell -i /
会比较花时间,但是值得做一次
完成后,重启NAS
又查看了一下路由器,连接都是正常的了
后记:
- 改掉所有密码
- 关掉NAS的SSH,或者只接受本地ssh连接
- 设置防火墙,去掉不必要的端口
- 控制权限
最新评论
挂了
Teambition网盘,不是阿里云盘。Teambition网盘是阿里Teambition工作套件里面的,听说体验感不太好,我也不清楚
标记一下
良心在海外
RIP
Good it's working now and testing comments