19,612
社区成员
发帖
与我相关
我的任务
分享linux系统部署的weblogic感觉被挖矿的黑了,求助
近期公司的几台装weblogic的服务器感觉被黑了。 症状如下:
1.打top可以明显的看到有不明进程占高CPU资源,进程有时候是/bin/wipefs,有时候是/tmp下面的一些名字很怪的东西
2.cat /etc/resolv.conf,发现dns被动过
3./tmp下面多出一些莫名奇妙的文件
4. /etc/crobtab里有外加的定时任务(和那个啥wipefs相关)
5.weblogic base domain下面多了些怪东西
6. /etc/rc*.d 和 /etc/rc.d/rc*.d 下面有关于这个wipefs的启动任务
听说是被木马搞成挖矿机了~
非互联网公司,运维离职很久了,自己主要做开发,对系统也不是太熟,目前只有隔段时间手动上去清除掉这些东西,但感觉治标不治本,过段时间换个名又出现了。
求助
1.打top可以明显的看到有不明进程占高CPU资源,进程有时候是/bin/wipefs,有时候是/tmp下面的一些名字很怪的东西
2.cat /etc/resolv.conf,发现dns被动过
3./tmp下面多出一些莫名奇妙的文件
4. /etc/crobtab里有外加的定时任务(和那个啥wipefs相关)
5.weblogic base domain下面多了些怪东西
6. /etc/rc*.d 和 /etc/rc.d/rc*.d 下面有关于这个wipefs的启动任务
听说是被木马搞成挖矿机了~
非互联网公司,运维离职很久了,自己主要做开发,对系统也不是太熟,目前只有隔段时间手动上去清除掉这些东西,但感觉治标不治本,过段时间换个名又出现了。
求助
...全文
请发表友善的回复…
发表回复
曹宇飞丶 2017-09-29
- 打赏
- 举报
楼主可以参考这篇博客:一次被黑与经历反思
http://hoodlum.blog.51cto.com/4075497/890405
aTimer 2017-09-29
- 打赏
- 举报
楼主的描述并不代表攻击者所有的攻击手段,而且也没有把文件内容贴出,我对linux系统较为熟悉,说一下自己看法:
1、由于你这是一台web应用的服务器,目测是不能断网的,如果能断网,就要首先断网;
2、查看/etc/init.d目录下关于wipefs的开机自启动脚本内容,肯定有和/bin/wipefs等二进制可执行文件相关的文件,将这些文件相关的进程都杀掉,然后chmod 000,取消掉可执行文件的权限,注意一定要先杀掉进程;
3、如果你的服务器操作系统是debian系列的,使用update-rc.d;如果是red hat系列的,使用chkconfig; 禁止掉/etc/init.d/下的开机自启动脚本;
4、这个时候你可以查看下系统行为,再做决断
注:杀死wipefs等进程时,请用pstree命令,查看一下wipefs的相关进程和守护进程等,首杀守护进程;
