開發那邊構建jenkins專案發現構建失敗,我去排查發現,git拉取不了**,我一開始以為是ssh沒許可權,公鑰失效了,後來發現22埠連線不上。
後來我試著ssh連線別的機器發現報同樣的問題,經過網上搜尋這種問題的原因,ssh服務沒啟動,host.deny,防火牆規則,甚至把openssh服務解除安裝了重灌仍舊這個錯誤。
中午登陸linux寶塔發現伺服器cpu滿了,造成了資源100%繁忙,後來在命令列top一看/tmp目錄有個非法二進位制檔案占用了300%cpu,這種來歷不明的二進位制吃cpu的程式一般是挖礦惡意程序
我趕緊把這個程序殺掉,,刪掉二進位制檔案。果然程序莫名重啟,二進位制檔案重生。斷定了確實是挖礦病毒。後來我檢視 /var/log/secure發現檔案丟失,last命令也不存在,使我察覺到,伺服器應該被人非法登陸,注入了這種挖礦病毒。我趕緊修改了伺服器密碼,果然不出所料,把密碼設定的複雜後,再次殺掉程序,刪掉二進位制檔案,病毒不會重啟了,讓我斷定,之前我殺過的程序,刪掉的軟體,非法人員又在某刻重新登陸,重新注入病毒。病毒問題臨時解決了,但是我的ssh服務依舊不能使用,後來我向領導申請重灌系統,因為華為雲機器,比較簡單操作,我做完相關的備份操作後,開始了系統還原,但令我失望的是,還原後的新系統,ssh依舊不能使用,最後無可奈何,提交了乙個工單。後來我發現我的機器ssh公網ip連線失敗,但是連線區域網ip可以連線,經過我和華為雲技術支援相關人員配合,後台發現了,公網ip被阻塞了,它們給我的官方說法說法是一下原因導致了
公網ip被阻塞。
1. 是否有比較多的華為雲賬號,購買了多台伺服器?
2. 是否電商類業務?
3. 有多人/頻繁登陸連線華為雲不同賬號下多台伺服器的場景?
4. 本地是否有使用批量遠端連線軟體工具?
後來它們把伺服器給我解封了,ssh可以使用了,所以我分析我的伺服器應該是,被人用來惡意挖礦,華為雲後台監測到我的機器做了非法操作,便將我的機器給封了(拉黑了)。華為雲官方說法是:
ddos攻擊導致流量過高。
黑客入侵控**務器進行違法操作。
伺服器流量超載過多。
等等 都會導致伺服器狀態異常
如果他們後台檢測到伺服器有以上行為便會對伺服器公網ip進行阻塞封堵,避免連線別的機器,造成病毒蔓延(這一點還是挺可靠的)
記一次linux挖礦木馬應急
1.拿到了乙個靶機,top檢查,發現有乙個程序cpu利用率一直在百分之百,經過特徵對比,發現是挖礦木馬 2.利用 ll proc 埠id exe 定位木馬檔案所在位置 3.rm rf 刪除掉木馬檔案 4.原本以為搞定了,過了一會發現還是有利用率百分之百情況 5.檢視 cat var spool cr...
記一次 qW3xT 4,解決挖礦病毒。
最近感覺我的伺服器特別卡,開啟資料庫都半天,剛開始以為網咯不好也沒太在意。利用top命令 這時候問題出來了,最高cpu占用100 那我用啥?根據程序id 一看究竟,ps ef grep 程序id 1.cpu占用最多的前10個程序 ps auxw head 1 ps auxw sort rn k3 h...
記一次公司linux伺服器被挖礦
centos7.6 有些問題不是我遇到的 也一併記錄 伺服器執行緩慢,cpu飆公升,top一下,懷疑是挖礦程式.這個病毒還不是算很 很多挖礦病毒,使用top命令都看不到挖礦程式的程序。執行命令ps aux sort pcpu head 10 基本確定就是這兩程序了 kill 9 pid 基本沒用,肯...