Ubuntu16.04.06 LTS crondd 进程占用cpu很高,中了xmrig（门罗币）木马病毒

Posted 2021-08-19 玩电脑的辣条哥

环景：

Ubuntu16.04.06 LTS
联想物理机

问题描述：

crondd 进程占用cpu很高

解决方案：

1.netstat -antlp|grep -e crondd -e rsync 查看进程通信信息**

3.125.10.23
地理地址: 德国 法兰克福
运营商: 亚马逊云

htop信息
2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务
no crontab for root

3.ls -l /proc/27012/exe #27012为当时进程号 查看进程位置**

lrwxrwxrwx 1 root root 0 7月 15 06:00 /proc/27012/exe -> /root/root/crondd

4.查看环境变量.bash_profile时发现存在异常：
无异常

5.查看tmp文件
root@lenovo-70TJA00QCN:~# ls -la /tmp
total 40
drwxrwxrwt 4 root root 20480 7月 21 13:14 .
drwxr-xr-x 24 root root 4096 4月 17 06:14 …
drwx------ 2 lenovo lenovo 4096 7月 15 06:00 launchpadlib.cache.2cs3_zu0
-rw-rw-r-- 1 lenovo lenovo 0 7月 15 06:00 unity_support_test.1
-r–r--r-- 1 root root 11 7月 15 06:00 .X0-lock
drwxrwxrwt 2 root root 4096 7月 15 06:00 .X11-unix

6./root/.ssh/authorized_keys是否被写密钥
root@lenovo-70TJA00QCN:~# ls -la /root/.ssh/authorized_keys
-rw-r–r-- 1 root root 747 12月 16 2018 /root/.ssh/authorized_keys

#cat /root/.ssh/authorized_keys

7. 查看home下有没有新增的用户
root@lenovo-70TJA00QCN:~# ls -la /home
total 20
drwxr-xr-x 5 root root 4096 7月 31 2019 .
drwxr-xr-x 24 root root 4096 4月 17 06:14 …
drwxr-xr-x 31 hadoop hadoop 4096 7月 20 15:40 hadoop
drwxr-xr-x 27 lenovo lenovo 4096 4月 25 17:03 lenovo
drwx------ 4 ps ps 4096 5月 18 17:49 ps

8.拷出crondd用杀毒软件检测

记事本打开你木马文件 查找xmrig你会找到3120个跟门罗币有关的关键字

9.杀掉进程删除木马文件crond及相关文件
root@lenovo-70TJA00QCN:~/root# sudo rm –rf crondd
sudo: unable to resolve host lenovo-70TJA00QCN
rm: cannot remove ‘crondd’: Operation not permitted 没有权限

查看文件属性
root@lenovo-70TJA00QCN:~/root# lsattr crondd
-------------e-- crondd
文件可执行没，为什么还删除不？
后来查了一下

因为当前文件所在的文件夹(目录){有时候可能不止一层文件夹(目录)被设置成了不可删除属性}的不可删除属性去掉即可, 若是有多层文件夹(目录)都具有不可删除属性, 那就需要保证每层的不可删除属性都去掉了, 之后就可以删除那一直以来删除不了的文件了

查看当前文件夹属性
root@lenovo-70TJA00QCN:~# lsattr
----i--------e-- ./root
去掉i然后在删除
root@lenovo-70TJA00QCN:~# chattr -i root

root@lenovo-70TJA00QCN:~/root# sudo rm –rf crondd

完了再加上i
root@lenovo-70TJA00QCN:~# chattr +i root

10.接下去几天继续观察服务器状态