今天下午突然收到了阿里云的告警,一台闲置的服务器报了蠕虫病毒。于是我便登上去看了看日志,发现是哪吒监控搞的鬼。
简单来说是这样的:哪吒监控dashboard有漏洞,被入侵后黑客通过dashboard向agent定时下发命令,下载挖矿脚本并执行。
如果不确定自己有没有中招,可以登录dashboard看看有没有不是自己添加的定时任务,或者在agent终端执行以下命令:
ps -ef | grep xmrig
如果有,那大概率就是被感染了。经过一段时间的研究(询问群u & ai)有了以下解决方案:
1.彻底停止并卸载哪吒 Agent:
systemctl stop nezha-agent systemctl disable nezha-agent rm -rf /opt/nezha
2.查找带有 `memfd` 关键词的异常进程
#攻击者植入的是很隐蔽的 memfd 内存马(伪装成内核线程 `[kworker/x:x]`)。这种马在磁盘上没有物理文件,通过 `ls`、`cron` 或 `systemctl` 都查不到,只能在进程中露马脚。 ls -al /proc/*/exe 2>/dev/null | grep "deleted"
如果看到输出中指向 /memfd:xxx (deleted),这就是典型的内存马。
kill -9 <内存马的PID>
3.清理物理持久化文件及守护服务
# 1. 停止并删除守护服务 systemctl stop systemlog.service systemctl disable systemlog.service rm -f /etc/systemd/system/systemlog.service rm -rf /opt/systemlog/ # 2. 停止并删除 XMRig 挖矿木马 systemctl stop c3pool_miner.service systemctl disable c3pool_miner.service rm -f /etc/systemd/system/c3pool_miner.service rm -rf /root/c3pool/ # 3. 检查并删除恶意的哪吒 Agent 残留配置 # 检查 /opt/nezha/agent/ 下是否存在随机名的 config-xxxxx.yml(指向攻击者 C2) rm -rf /opt/nezha/agent/ # 刷新 systemd 配置 systemctl daemon-reload
4.清除 authorized_keys 后门
查看并编辑/root/.ssh/authorized_keys,将带有特定注释的攻击者公钥彻底删除。如果分不清哪个是自己的,建议直接清空该文件,然后重新写入你自己的安全公钥。
5.删除临时文件(可选)
rm -r /tmp/.x rm -r /tmp/xmrig.sh
这个方案无法 100% 保证攻击者是否在内核层或其他极深的位置做了持久化,所以最好的办法是重装系统,这个解决方案只能做参考