记录遭遇挖矿程序kthrotlds的失败处理经历

1 发现问题

在腾讯云上购买了一个centos7的服务器,平时用来练手,偶尔也安装一些程序进行测试,上面安装了mysql和redis,前段时间数据库经常掉线,连不上,到腾讯云后台进行查看,通过服务器实例的监控窗口,可以查看服务器的一些指标状态,包括CPU、内存、流量等数据,本来看到CPU使用超过了90%,然后用kill -9 pid,或者重启服务器,问题当时解决了,也就没有太注意,结果第二天发现,CPU的利用率又变成了90%以上,然后再杀进程。

 

 刚杀完就出现新的进程,CPU利用率还是90%以上,查看CPU的名称,是kthrotlds,百度了一下,发现原来是挖矿程序。

 

 

2 尝试解决问题

还是依靠百度,看看大家都怎么处理这个问题,有专业人士给出详细的分析,参见https://www.360zhijia.com/anquan/447557.html,而且给出解决方法,参见https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool,我看专业人士的分析,很多看不太懂,大致理解病毒是可以自我保护,你杀了进程,它通过定时任务还会启动,你修改定时任务,它在自启动程序里还会还原出定时任务,还会从网上下载病毒内容,内容写的很详实,我大概看了分析情况,然后按照给出的解决方法来尝试清除,github上面给出了清除程序,我根据说明将busybox上传到bin目录下。上传方式是将busybox放到一个固定的网络位置,比如xxxx/resource/busybox,然后利用vnc方式登录centos服务器,使用wget方式将busybox下载到centos服务器,同样道理将其它文件也下载centos服务器,然后运行clear_kthrotlds.sh,运行之后,进程没了,重启服务器,结果问题还是存在,kthrotlds进程又出现了。

我换了方式,在腾讯云后台设置服务器的安全组规则,将服务器的入站端口都关闭,只保留登陆用的22端口,将出站端口全部关闭,然后再杀进程,果然,cpu利用率变为小于5%,正常了,再通过top命令查看进程,kthrotlds进程没有了,但出现了好几个wget进程,这是要从网上来下载病毒程序。在腾讯云后台将端口打开,kthrotlds马上就回来了,说明,这个病毒没有清除干净,非常顽固。

问题没有解决,好在上面没有太重要的数据,还是重新安装系统吧,一劳永逸。

3 一些教训

我们碰到一些问题的时候,在解决问题的过程中,我们会学到很多东西。这次解决kthrolds挖矿病毒,虽然没有成功清除,也学到了不少centos操作知识,以及挖矿病毒方面的知识。分析了一下网上的解决方案没有奏效的原因,解决方案是3月初公布的,我的病毒发作是在4月底,可能是病毒有了变种或者更新,在没有彻底掌握病毒的前因后果,不能针对性的清除病毒文件,总的来说还是对centos操作系统原理不够熟悉,如果耐心的多看看病毒分析报告,然后再查查相关资料,彻底掌握病毒的原理,然后再慢慢清除,应该能够解决问题,但花费的时间会非常多,最终放弃是因为精力没有放到这上面,还想继续使用服务器,也就是直接重装系统来的方便。

亡羊补牢,出现问题了,我们还是要总结一些经验教训,杜绝以后再发生类似的情况。

3.1要勤备份

我这个服务器上面主要资料就是测试用的数据库mysql,上面有一些数据,好在平时在局域网测试的时候,也有一些备份,可能数据不够新,但还能用,当然如果是每天备份,可能会更好一些。而且,养成勤备份的习惯,我们可以应对一些突发状况,能够减少损失。这个问题,可以查查资料,看能不能写个定时任务,让数据库每天在固定的时间进行备份,或者手工备份。

3.2 设置好防护措施

病毒一般都是通过服务器的某些端口进行攻击,特别是中招之后,病毒会把这个服务器作为一个病毒源,去感染其它机器,所以做好防护工作,不仅是对自己的服务器负责,也是对他人的服务器负责。防护措施简单的来说可以有两个方面,一个是在后台,也就是腾讯云的安全组设置,设置服务器的入站规则和出站规则,入站规则可以逐步对使用的端口进行开放,对自己了解的端口进行开放。

 

出站规则可以全部开放,不影响使用,如果中招了,就要对出站规则进行梳理调试。

再一个就是服务器的防火墙的设置,centos7的防火墙用的是firewall。

systemctl start firewalld #开启

systemctl status firewalld #查看状态

systemctl enable firewalld #开机自启动

firewall-cmd --zone=public --add-port=80/tcp --permanent #永久开启80端口

firewall-cmd --zone= public --remove-port=80/tcp –permanent #永久关闭80端口

firewall-cmd --zone=public --list-ports #查看所有打开的端口

firewall-cmd –reload #重载后生效

通过防火墙来设置开放某些端口,这样能够控制外部程序的非法访问。

通过两层控制端口的开放和关闭,默认关闭端口,只有在使用的时候,明确知道外部访问服务器要通过哪个端口,我们再开放它,这样操作比较安全。

3.3 谨慎安装软件

这次的挖矿病毒,主要的问题应该是出在redis上面,服务器上安装了redis,但对软件不太了解,为了能尽快使用,在网上直接找了点资料,把访问权限全部放开,没有深入的评估一下软件的安全问题,挖矿病毒就是通过redis的漏洞,攻击服务器,如果绑定ip,不对所有的网络放开,可能会更安全些。还有就是没有设置密码,这两点很关键。这两个需要设置的内容,通过修改redis.conf实现。利用vi打开redis.conf。比如绑定本机访问和设置访问密码123456,则修改两个地方。

bind 127.0.0.1

requirepass 123456

修改这两个地方之后,进行保存,重启服务

cd /usr/local/bin

./redis-server /etc/redis.conf

这样就完成redis访问ip的控制和密码设置,增强redis的防护。

4 结语

对于服务器来说,安全问题至关重要,很庆幸我的服务器上面没有重要数据,但不能存在侥幸心理,在生产环境中,如果不注意防护,同样存在安全问题。腾讯云或者阿里云这些云服务器商,也会提供一些防护服务,可以有效防止病毒攻击,不过,费用不菲,好像腾讯一个月要小4000,就像房子一样,安全问题是服务器的刚需,在数据为王的时代,如果没有安全保障,数据也就没有了。

对于企业的服务器来说,还是要花钱买安全,做到万无一失,对我们自己用的服务器,也是要在技术上谨慎处理,尽量减小服务器的安全隐患。

 

posted @ 2019-04-28 11:16 cooldream2009 阅读(...) 评论(...) 编辑 收藏