晚上收到阿里云服务器被攻击的紧急邮件,登录控制台就发现遭到了恶意植入挖矿病毒,直接把我cpu资源吃完了,可恨。
主要是挖矿程序和恶意脚本代码执行,我把这六个问题分别截图,挨个来解决
一、挖矿程序
看这两个挖矿程序的PID相同,直接追踪目标吧。应该是通过恶意植入了一个文件。先通过top查看了资源情况,好家伙,直接抓到凶犯。
本想着直接kill -9杀掉该进程再说,但看了阿里云社区的相关案例,发现这种挖矿程序似乎还会出现,于是通过ls -l /proc/30282/exe找到了这个文件所在目录,似乎就是阿里云控制台提示的tmp目录,然后再按时间顺序打开目录(ls -lt -al),索性没有出现可疑文件,直接rm掉watchdog就行了。ok,至此解决掉这个恶意程序了。
二、访问恶意IP
看描述应该是基于上面那个watchdog挖矿文件来实现而已访问的,我想watchdog都已经删了,应该就不用管了。
三、访问恶意下载源
估计就是为了下载watchlog文件
四、恶意脚本执行
这里通过进程链明显可以看到,是我ruoyi-admin.jar出了问题,攻击者就是通过它进行了后面一系列的攻击。这是我用来管理自己项目的一个开源后端框架,于是我跑到它的开源社区寻找相关issues,没想到还真有,哈哈。看了作者和一些开发者的交流,最终定位问题如下:
1数据库问题:可能是Redis、mysql弱密码导致。
2框架本身引用了一些带有漏洞的第三方依赖。
如果是框架本身的漏洞,我暂时也没空换其它框架,也没精力去寻找漏洞挨个修复,所以就先解决弱密码问题吧,看来密码真的不能随便设定啊,算是第一次被这种形式的攻击,涨个教训吧。
总结:其实现在从尾到头看,关键就在于我这个项目暴露了一个关键漏洞,让骇客抓住机会得以植入脚本,再通过脚本远程下载恶意挖矿病毒,最后病毒把cpu资源占满。
