上一篇说道我清除了syst3md挖矿病毒程序后,原本以为这事就解决了,可事情没这么简单,top命令显示虽然没有高消耗的进程,但US%很持续50%,32核的长期占用16核的100%,见下图
在使用一系列操作系统命令排查后,占用cpu较高的程序或进程始终没有找到。
期间考虑过是不是由于操作系统内核版本命中了有缺陷的内核导致的,但和其他一样操作系统比对来看,那台机器并没有发生这种现象。
最终,将排查方向还是锁定在病毒未清除干净这个方向上。继续参考了多个博客发现一个共同点,那就是top命令中的用户态值都很高,且都指向了一个路径下的动态链接库,因为病毒发明人不同,所以动态链接库名可能一样,但里面的lib文件名可能不同。
发现该问题被使用chattr命令加上了“i”,也就是不可以随意改动文件的特殊权限,所以看上去这个文件可以删除,实际上删除会报错,再次执行chattr -i就可以去掉该权限。网络上建议将该动态库文件和文件中的内容指向都删除,那么这个动态库起到什么作用呢?
通过配置/etc/ld.so.preload,可以自定义程序运行前优先加载的动态链接库,部分木马通过修改该文件,添加恶意so文件,从而实现挖矿进程的隐藏等恶意功能。检查/etc/ld.so.preload(该文件默认为空)。
将该文件清除后,发现top中出现了busybox进程,cpu已彪到1600%:
busybox是一个300多个命令的工具集,这个进程的出现后来感觉是因为将动态库文件清除后,真正是cpu居高不下的命令出现了,这层隐藏的很深的程序或命令,在没有保护的情况下现身了。
尝试去查找这个文件的目录,发现已经在上一篇文章中删除了:
由于上一篇文章清除黑客程序很到位,所以kill 掉busybox进程后,top命令恢复了正常的负载状态:
至此斩首病毒行动已完成。
参考链接:
挖矿木马自助清理手册 (baidu.com)
分享一则Linux系统邮件提示 /usr/local/lib/libprocesshider.so > /etc/ld.so.preload 的中病毒解决方法 - 许怀安 - 博客园 (cnblogs.com)
linux隐藏病毒处理(top查询us占用70%左右,却没有CPU高使用的进程) - 走看看 (zoukankan.com)
(44条消息) 记一次Linux服务器top命令us负载很高,但是找不到高负载进程,引起服务器频繁重启的错误,内核升级_COSP的博客-CSDN博客_linux us过高
记服务器中招挖矿病毒排查过程(解决方案篇) - 愤怒的码农 - 博客园 (cnblogs.com)
