歡迎光臨
每天分享高質量文章

一次駭客入侵事件之後,我居然找到了致富方法


運維行業正在變革,推薦閱讀:30萬年薪Linux運維工程師成長魔法


作為一名運維工程師,保護自己的伺服器責無旁貸,日常必須時刻註意不靠譜的開發、複雜的環境配置、隨時可能出現的手殘失誤以及部分同事的入職刪庫跑路三部曲,還要隨時防備著外部駭客帶來的衝擊。

最近我就遇到一個小小的麻煩,對方手段也並不高,很輕鬆就解決了。沒想到的是在這個過程中,我居然還的發現了一條小小的致富道路。

起源

某天中午測試反饋說線上系統頻繁的報502錯誤,並且響應極慢。

開始懷疑是公司哪位小哥在下載小電影,但開啟其他網站都很快。於是繼續懷疑難道是業務激增導致頻寬被佔滿了,於是登入監控介面,顯示只用了80Mb,頻寬也沒佔滿。

解決問題

ssh上伺服器之後,本能的執行top命令,返現cranberry行程幾乎把cpu吃滿了。 

於是嘗試kill掉行程

kill掉之後,cranberry又會立即自動重啟。
在緊盯螢幕之後,驚喜的發現crontab行程。於是大喜過望,這哥們會啊。
於是檢視crontab的串列

看到如下命令,會透過定時任務去遠端伺服器下載指令碼。 

於是把crontab的串列刪掉

然後,以為kill掉cranberry之後,就ok了,誰知道還是自動重啟。
那隻能耐著性子,把指令碼下載下來研究一下了,指令碼內容如下:

這指令碼倒也簡單,主要是下載另外一個指令碼,到/etc/目錄中,名字是root.sh.
於是檢視是哪個行程執行了指令碼:

把上邊的行程kill掉:

然後再kill掉cranberry:

這次終於搞定了。不過仔細看了看,似乎還有幾個挖礦木馬,用同樣的排查思路一個個幹掉了。

致富之路的展開

搞定病毒之後,順便研究了CPU挖礦工具,發現了 xmr-stak-cpu 這個東西。

上網搜了搜,找到了GITHUB上的主頁,好像剛升級不久:https://github.com/fireice-uk/xmr-stak

還有個早先點的版本地址為:https://github.com/fireice-uk/xmr-stak-cpu

找了一臺測試機安裝一下試試:

好像沒有可以執行的檔案,不過我發現了Dockerfile,然後又在 scripts檔案夾裡找到了build_xmr-stak_docker.sh 難道是自動建立一個docker 來挖礦?

開啟來看看:

呵呵,果然不出所料,這個指令碼針對 CentOS 和 Ubuntu系列linux系統自動建立建立一個Docker映象然後安裝xmr-stak 編輯一下這個指令碼,只留下一個作業系統,我這裡只留下了 Ubuntu 17部分。

原來的指令碼是跑完了docker 安裝完成就吧容器刪掉,而我現在想把這個容器留下於是就改了改,最後變成下麵這個樣子:

我的linux 不需要CUDA ,刪掉 CUDA部分的程式碼。

直接執行(執行前請確定是否已經安裝Docker):

上面是選擇你想挖的幣種類、礦池地址、錢包地址等等設定完之後會自動執行,如果出現下麵這個就說明連線成功了,我測試用的是國內的一個門羅幣礦池mine.ppxxmr.com:3333:

網站上也出現了你挖礦的進度,如下圖:


終止行程後發現,bin下麵多了兩個檔案 cpu.txt 和 config.txt:

開啟來看看:

內容比較多,剛才的設定應該都存在這裡了。

cpu.txt是我們調整CPU使用效率的檔案,如果覺得資源耗太多可以減少一些

好了,再次執行的時候就不用進行設定了。

看一下資源消耗,瞬間就上10了哈哈,看看這點算力和這麼高的負載,咱們就測測就得了。

不過要是想辦法搞點算力,基本上致富之路就開始啦~

部分內容來自於51CTO博主feelgood3000和storysky



————近期開班————

《馬哥Linux雲端計算及架構師》課程,由知名Linux佈道師馬哥創立,經歷了8年的發展,聯合阿裡巴巴、唯品會、大眾點評、騰訊、陸金所等大型網際網路一線公司的馬哥課程團隊的工程師進行深度定製開發,課程採用 Centos7.2系統教學,加入了大量實戰案例,授課案例均來自於一線的技術案例,自動化運維、Devops、雲服務、python等技能一站式搞定,掌握2018年linux雲端計算高薪未來。

29期網路班:2018年02月10日(網路)

30期面授班:2018年03月26日(北京)


更多Linux好文請點選【閱讀原文】哦

↓↓↓

贊(0)

分享創造快樂