歡迎光臨
每天分享高質量文章

一次黑客入侵事件之後,我居然找到了致富方法


運維行業正在變革,推薦閱讀:30萬年薪Linux運維工程師成長魔法


作為一名運維工程師,保護自己的服務器責無旁貸,日常必須時刻註意不靠譜的開發、複雜的環境配置、隨時可能出現的手殘失誤以及部分同事的入職刪庫跑路三部曲,還要隨時防備著外部黑客帶來的衝擊。

最近我就遇到一個小小的麻煩,對方手段也並不高,很輕鬆就解決了。沒想到的是在這個過程中,我居然還的發現了一條小小的致富道路。

起源

某天中午測試反饋說線上系統頻繁的報502錯誤,並且響應極慢。

開始懷疑是公司哪位小哥在下載小電影,但打開其他網站都很快。於是繼續懷疑難道是業務激增導致帶寬被占滿了,於是登錄監控界面,顯示只用了80Mb,帶寬也沒占滿。

解決問題

ssh上服務器之後,本能的執行top命令,返現cranberry行程幾乎把cpu吃滿了。 

於是嘗試kill掉行程

kill掉之後,cranberry又會立即自動重啟。
在緊盯屏幕之後,驚喜的發現crontab行程。於是大喜過望,這哥們會啊。
於是查看crontab的串列

看到如下命令,會通過定時任務去遠程服務器下載腳本。 

於是把crontab的串列刪掉

然後,以為kill掉cranberry之後,就ok了,誰知道還是自動重啟。
那隻能耐著性子,把腳本下載下來研究一下了,腳本內容如下:

這腳本倒也簡單,主要是下載另外一個腳本,到/etc/目錄中,名字是root.sh.
於是查看是哪個行程執行了腳本:

把上邊的行程kill掉:

然後再kill掉cranberry:

這次終於搞定了。不過仔細看了看,似乎還有幾個挖礦木馬,用同樣的排查思路一個個幹掉了。

致富之路的展開

搞定病毒之後,順便研究了CPU挖礦工具,發現了 xmr-stak-cpu 這個東西。

上網搜了搜,找到了GITHUB上的主頁,好像剛升級不久:https://github.com/fireice-uk/xmr-stak

還有個早先點的版本地址為:https://github.com/fireice-uk/xmr-stak-cpu

找了一臺測試機安裝一下試試:

好像沒有可以執行的檔案,不過我發現了Dockerfile,然後又在 scripts檔案夾里找到了build_xmr-stak_docker.sh 難道是自動創建一個docker 來挖礦?

打開來看看:

呵呵,果然不出所料,這個腳本針對 CentOS 和 Ubuntu系列linux系統自動創建建立一個Docker鏡像然後安裝xmr-stak 編輯一下這個腳本,只留下一個操作系統,我這裡只留下了 Ubuntu 17部分。

原來的腳本是跑完了docker 安裝完成就吧容器刪掉,而我現在想把這個容器留下於是就改了改,最後變成下麵這個樣子:

我的linux 不需要CUDA ,刪掉 CUDA部分的代碼。

直接執行(運行前請確定是否已經安裝Docker):

上面是選擇你想挖的幣種類、礦池地址、錢包地址等等設置完之後會自動執行,如果出現下麵這個就說明連接成功了,我測試用的是國內的一個門羅幣礦池mine.ppxxmr.com:3333:

網站上也出現了你挖礦的進度,如下圖:


終止行程後發現,bin下麵多了兩個檔案 cpu.txt 和 config.txt:

打開來看看:

內容比較多,剛纔的設置應該都存在這裡了。

cpu.txt是我們調整CPU使用效率的檔案,如果覺得資源耗太多可以減少一些

好了,再次執行的時候就不用進行設置了。

看一下資源消耗,瞬間就上10了哈哈,看看這點算力和這麼高的負載,咱們就測測就得了。

不過要是想辦法搞點算力,基本上致富之路就開始啦~

部分內容來自於51CTO博主feelgood3000和storysky



————近期開班————

《馬哥Linux雲計算及架構師》課程,由知名Linux佈道師馬哥創立,經歷了8年的發展,聯合阿裡巴巴、唯品會、大眾點評、騰訊、陸金所等大型互聯網一線公司的馬哥課程團隊的工程師進行深度定製開發,課程採用 Centos7.2系統教學,加入了大量實戰案例,授課案例均來自於一線的技術案例,自動化運維、Devops、雲服務、python等技能一站式搞定,掌握2018年linux雲計算高薪未來。

29期網絡班:2018年02月10日(網絡)

30期面授班:2018年03月26日(北京)


更多Linux好文請點擊【閱讀原文】哦

↓↓↓

赞(0)

分享創造快樂