服务器又被挖矿记录

写在前面

23年11月的时候我写过一篇记录服务器被挖矿的情况，点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。

而过了几个月没想到又被攻击，这次比上次攻击手段要更高明点，在这记录下吧。

发现过程

服务器用的是4090，i9-13900K，就我一个人在用，我也不跑什么大规模程序，按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转，过了一二十分钟后还是这样，我就意识到可能出了问题。

首先我看了眼桌面上占用资源较多的几个进程，没发现异常

而在上篇记录中，bash进程都超过了90多，只从这里看不出什么问题。

然后我又打开了资源管理器进一步查看

资源占用都不是很高，到这里还是看不出问题

我又回想起之前我同学又要用这个服务器跑程序(没错，又是他o(╥﹏╥)o)，当时我就给了他一个公共用户，为了防止像上次一样被挖矿，我还特意改了下那个用户的密码。

但是由于他不在校园网范围内，所以走的是一个公网ip登的服务器，做了个端口映射。

我给他的用户是lab，由于他可能也要装软件，所以也给了sudo权限。

于是我查了下lab用户的进程

注意上面有几个可疑的地方

• 有一个Python程序，还是从昨天开始运行的，但这个用户最近并没有人使用
• 有一个远程ip：root@10.201.0.50，这就非常可可疑了，又没人使用，为什么会和一个远程ip有通信记录，还是ssh
• 鼠标放到Python那个进程显示如下

  

  大致是python -a kawpow -o 127.0.0.1:4444 -u RMsn.lab --no-watchdog --no-strict-ssl

  由于我也不是专门的运维人员，也不懂这些参数是什么意思，于是问了下ChatGPT

  

  由于关闭了资源占用监控，所以资源管理器看不出什么资源占用异常

  至此，确信了服务器确实又被攻击了

  处理方案

  最保险的方法还是重装系统，但上面有很多资料，所以先按如下过程处理下，之后再多留意下

  这里参照了这个文章的处理方法：点我查看

  首先是last命令查看最近登录的有没有异常ip

  

  这里也看不出什么，可能记录被删除了

  然后看下命令的历史记录history 500，还是看不出什么

  接着看下有没有什么定时任务

  

  这里明显能看出有异常记录，进一步排查，看下这个定时任务的内容

  

  这个脚本的作用是检查系统中是否有名为 javra 的进程在运行，如果没有，则执行 $locatie/root.sh 脚本，并将输出重定向到空设备，然后将这个任务放入后台执行。

  而javara就是开头资源管理器中那个挖矿脚本，所以问题就在这里

  去图中的/var/tmp/.log/.local目录看下有什么

  这里我忘了截图了，该目录下放的就是javara还有其他脚本

  把该目录下的文件都删除

  之后在/var/tmp/.log还看到了lab的其他文件，为了以防万一，对所有以.开头的目录都执行了删除操作：find . -maxdepth 1 -type d -name ".?*" -exec rm -rf {} \;

  之后使用crontab -e进入定时任务，把3个定时任务给删了

  使用passwd lab更改用户密码

  使用sudo deluser lab sudo命令删除lab用户的sudo权限

  检查下.ssh 目录下 authorized_keys文件，为了以防万一，我将这个文件清空了

  ---

  到这里，针对这次被攻击的处理便完成了，服务器的风扇也不再一直狂转了

  之后如果还有什么问题，会再次记录的