伺服器成礦機的KO技巧

序

伺服器突然成礦機了，cpu占用一直是200%。周五測試小姐姐發現的，我在忙其他的，也沒空管，也不想管。今天在家開電腦跟老婆做了個ppt，順便看了下，順手ko，廢話不多說，直接上處理步驟。

一、礦機的形成

二、處理的關鍵步驟

1、檢視是否有自動任務

如果發現有這種wget命令，指向的未知名的**，那麼多半就是**的，我這裡直接乾掉了。然後儲存退出。

命令：:wq

這裡也有的在/var/spool/cron這個目錄下,這個目錄下是各個使用者的自動任務。我這裡只有乙個root在這個目錄下

命令cat /var/spool/cron/root，執行沒有返回，應該是沒有自動任務。

2、分析異常程序

檢視cpu高占用pid

命令 top

3、分析礦機pid的父級pid

cat /proc/礦機pid/status

檢視異常程序的目錄

a、清除目錄

命令rm -rf *或者rm -rf 目錄名稱

b、殺相關程序（包括父程序）

命令kill -9 pid

這裡有的慧藏在var/tmp目錄

然後top觀察cpu占用（我這裡等待了5分鐘沒毛病就開始寫這個分享文件了，基本沒有再發現程序死灰復燃）

三、檢視系統日誌回歸

linux系統常見的日誌檔案

路徑1：/var/log/messages：記錄 linux 核心訊息及各種應用程式的公共日誌資訊

路徑2：/var/log/cron：記錄 crond 計畫任務產生的事件資訊

路徑3：/var/log/dmesg：記錄 linux 作業系統在引導過程中的各種事件資訊

路徑4：/var/log/maillog：記錄進入或發出系統的電子郵件活動

路徑5：/var/log/lastlog：記錄每個使用者最近的登入事件

路徑7：/var/log/wtmp：記錄每個使用者登入、登出及系統啟動和停機事件

路徑8：/var/log/btmp：記錄失敗的、錯誤的登入嘗試及驗證事件

這裡再補充下檢視登入日誌的命令

utmpdump /var/run/utmp

utmpdump檢視加密過的日誌資料。

lastlog檢視最後登入記錄。

結合這個指令碼，就可以清楚的知道那個程序是他們的保護程序，那個目錄有他們的藏身地點，海可以把那個ip列為黑名單。

查詢ip位址，一解疑惑

ps（發現死灰復燃後的處理來繼續補充完善）

1、檢視自動任務執行日誌

cd /var/log

vim cron檢視，發現有以下可以自動人執行日誌，即見到run-parts關鍵字，然後有wget這種可疑ip的。

2、檢視自動任務檔案修改記錄

cd /etc 進入etc資料夾

ls -al | grep cron 檢視，主要看這種最近日期，出現挖礦情況的之前時間。

如果沒有設定過自動任務，直接乾掉這些檔案

rm -rf cron* 注意有個*號

rm -rf anacrontab

3、檢視還有沒有可以tcp連線

ps -aux

ip之前讓老大設定黑名單了，現在看到還有這2個礦機程序居然進入了休眠狀態

以上是第二次出現來補充的內容，情況繼續觀察。（講真，今天其實有點不高興，因為這個死灰復燃，我說事不過三，能力有限，希望找高人處理。測試小姐姐到技術群@運維，部門zj看到了@我，說話官方的狠。情況之前就反饋過說過希望有專門的人才大拿處理，我不保證徹底乾淨了。今天這態度。。。。一起員工內部培訓白做了，領導都沒培訓進去怎麼做領導，我等屌絲能培訓出個鳥來）

四、總結

最後，就是要說下，其實礦機不可怕，他一般不會把系統搞壞，最多就是會自己挖礦或者勒索。流氓一點的就是改密碼，但是這個我們如果是雲伺服器害怕你改密碼嗎？可以隨時重置密碼嘛。不過有錢還是招運維、裝雲防護服務，反正我作為乙個開發就很不喜歡搞這些事情，並不是說不會，而是我覺得就應該運維幹，各司其職。

希望能幫到大家。

伺服器成礦機的KO技巧

伺服器篇 linux伺服器配置小技巧

DNS伺服器技巧 FAQ

伺服器與PC機的區別

伺服器成礦機的KO技巧

伺服器篇 linux伺服器配置小技巧

DNS伺服器 技巧 FAQ

伺服器與PC機的區別

相關推薦

DNS伺服器技巧 FAQ