linux云服务器被暴破感染bioset

背景

某一天上服务器发现，cpu 使用率达到100%，而都是系统（sy）进程在占用，top命令如下：

由此得知：使用top命令并不能看到是那个进程在吃cpu，显然是感染病毒了，系统命令的动态库被劫持了，或是进程被隐藏了。

排查过程

unhide

这里我使用：unhide 查看被隐藏的进程

病毒更是修改了我们python的权限，导致我们不能使用yum命令

busybox

BusyBox 是很多标准 Linux® 工具的一个单个可执行实现。BusyBox 包含了一些简单的工具，例如 cat 和 echo，还包含了一些更大、更复杂的工具，例如 grep、find、mount 以及 telnet（不过它的选项比传统的版本要少）

防止非法用户替换原有命令，导致执行命令时同时执行恶意程序。（选做）

#vim /root/.bash_profile
alias busybox="/root/busybox"
alias top=“busybox top”
alias ls=“busybox ls”
alias ps=“busybox ps”
alias rm=“busybox rm”
alias cat=“busybox cat”
alias lsattr=“busybox lsattr”
alias chattr=“busybox chattr”
alias grep=“busybox grep”
alias vi=“busybox vi”

安装 busybox

wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64 --no-check-certificate
chmod +x busybox-x86_64
mv busybox-x86_64 /usr/local/bin/

使用 busybox top 查看

使用 busybox top 发现了 bioset 病毒

根据PID查看进程运行状态，可见此病毒程序的路径。

systemctl status 94395

解决方案

于是尝试将杀死进程和删除文件均无效，文件已经被隐藏且锁定。

在尝试数次后终于将病毒文件删除，具体命令见下图。由于文件被加上了 i 属性，无法直接删除，尝试用chattr命令移除 i 属性。

在成功删除后对 bioset 进程杀死，进程没有重新启动，top 查看负载已经降低。

总结

病毒非常狡猾拦截篡改了系统动态库，导致我们使用top，ps等命令是查看不到病毒的进程的，这时就需要使用busybox、unhide等工具协助我们排除。
不过由于被篡改的文件较多，所以最后还是选择了重装系统，平时还是要多注意服务器安全防护，防止服务器上数据泄露，以免服务器被攻击成为肉鸡。
有些地方表达不是很专业，不过过程还是很有意思的。