Jasper Ji

始以竹篦子久知痛痒,后因一滴水渐至澎冲。

0%

清理Linux病毒

起因

Windows上中毒已经习以为常,但是Linux中毒,之前没有遇到过。之前写过一篇《记Gitlab一次故障》,当时以为Gitlab服务器就好了,后来发现还是会时不时的就访问不了,CPU还是占的满满的,想着是不是要降低Gitlab的配置,最后把配置降低后,CPU还是满满的,我一度想换个Gitlab类似的东西,直到我发现即使把Gitlab停止后,依旧有两个Git的用户的程序把CPU占的满满的。其中一个叫kthreaddk的,隐约的感觉到好像中毒了,一搜发现这是一个挖矿的木马程序。

把进程Kill掉后,发现过一会又启动了。看来还是要深度清理了,参考《挖矿木马kthreaddk清理》这篇文章后,终于把这个木马清理了。主要是安装Gitlab时会创建一个git的用户,而木马程序就是这个用户下运行的,定时任务也是在这个用户下。遇到的主要问题是我不知道git用户的密码,不过这个可以用root账号来修改。

修改Git用户密码

1
sudo passwd git # 这个是修改用户密码,用户密码密码无法查看,即使你是管理员。

清理木马

1
2
3
4
5
6
7
8
9
10
11
su git # 切换到git用户

crontab -l # 查看定时任务

sudo /etc/init.d/cron stop # 停掉定时程序

kill -9 进程ID 进程ID # 这个木马会有两个进程

crontab -r # 移除定时任务

sudo /etc/init.d/cron start # 重启定时任务

总结

整个Gillab的故障中我一直没有想到中毒的问题,而上次出现故障时,我发现Gitlab账户多了一个管理员的用户,遂即就把这个用户给禁用了,这就已经是一个预兆了。通过这次事件,也算是给上了一课,之前也有使用top这个命令,但从来没有过深入的理解。另外开源的这些软件的漏洞的问题,也是值得关注的,搞不好就有被利用的可能性。