记一次阿里云被植入挖矿木马事件(2)

结合阿里云之前修改过密码的情况，本次感染可能有两种来源：

• 以前发现了被感染，但木马没有被清理干净;
• 木马作者会定期修改自己的代码来感染不同版本的redis，甚至是去利用其它软件的漏洞。

另外一个代码变动的证据就是netstat命令的二进制文件遭到篡改，这显然是为了应对运维人员排查异常网络连接而设计的，但本次检查木马代码时，并没有发现与netstat命令有关的操作。

五、清理木马

清理过程分两步：删除木马文件和修补当前漏洞。

1. 删除木马文件

根据木马的代码，写了清理脚本，如下：

#!/bin/bash 
ps auxf | grep -v grep | grep kworkerds | awk '{print $2}' | xargs kill -9 
 
chattr -i /usr/local/bin/dns /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload 
echo "" > /usr/local/bin/dns 
echo "" > /etc/cron.d/root 
echo "" > /etc/cron.d/apache 
echo "" > /var/spool/cron/root 
echo "" > /var/spool/cron/crontabs/root 
rm -rf /etc/cron.hourly/oanacroner 
rm -rf /etc/cron.daily/oanacroner 
rm -rf  /etc/cron.monthly/oanacroner 
 
sed -i '/cron.hourly/d' /etc/crontab 
sed -i '/cron.daily/d' /etc/crontab 
sed -i '/usr\/local\/bin\/dns/d' /etc/crontab 
 
#sed -i '$d' /etc/ld.so.preload 
rm -rf /usr/local/lib/libntpd.so 
 
#/tmp/.a可以不删,木马是通过此文件判断是否要卸载阿里云盾 
#rm -rf /tmp/.a 
rm -rf /bin/kworkerds 
rm -rf /tmp/kworkerds 
rm -rf /usr/sbin/kworkerds 
rm -rf /etc/init.d/kworker 
chkconfig --del kworker 

脚本仅供大家参考，在执行之前还是要对照一下具体的环境。

除此之外，还需要排查一下系统中是否有异常用户，异常的服务和异常的监听端口。毕竟服务器被入侵过，绝不能等闲视之。

2. 修补漏洞

以redis为例，修补漏洞有很多种方法：

• 限制端口，使其对外不可连接;
• 不要使用root运行reids;
• 及时更新软件，修补漏洞;
• 修改默认端口;
• 对重要命令重命名;

关于这个问题，阿里云也有详细的安全加固方案：

https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.3.29131848FutMrC

编者的话

黑客一词听起来感觉酷酷的，因为世界上确有一批崇尚用技术实现“开放、自由、真实、平等、美好生活”的人，他们离经叛道，闪闪发光。然而，通常情况下非法获取利益的黑客仅仅是一个小偷而已，喜欢的是不劳而获，而不是技术本身，技术水平也只能是一般。

希望大家从技术交流，防范风险的角度看待文中提供的木马资料，不要走上违法犯罪的道路。从另一个角度讲，信息安全无小事，文中的木马仅仅是挖矿，事实上，该漏洞足以让黑客在你的服务器上做任何事，大家万万不可掉以轻心。

（编辑：ASP站长网）