本週發現伺服器很卡,明明什麼實驗也沒跑(gpu是空的),然後重啟後使用top指令後發現在自己賬號下有個程序占用了所有的的cpu資源,嘗試使用kill命令終止該程序後發現幾秒鐘程序又重啟了,資源一直處於耗盡狀態,至此發現該程序是惡意程序,網上搜尋後發現是乙個挖礦的程式。知道問題所在,那就好辦了。
想法:先刪除源程式,然後刪除指令碼,然後刪除定時任務,最後kill所有的惡意程序(因為直接kill後會程序還會重啟)。
檢視/etc/hosts的內容是否被惡意篡改
檢視發現該檔案增加了下述兩行**,將其刪除:
在/etc/hosts裡增加一條
127.0.0.1 g.upxmr.com一般情況使用crontab -l是看不到的挖礦的程式,需要檢視/etc/crontab。但是本處使用crontab –l發現了挖礦指令碼所在位置,刪除後再確認/etc/crontab檔案內容無修改。
正常的/etc/crontab檔案內容如下:
長時間觀察發現cpu的資源占用並未公升高,說明問題是初步解決了,但是根源還沒找到,因為我們的服務都是部署在內網的,挖礦程式是從哪個入口侵入的還有待排查。
登入日誌檢視:
last -f /var/log/wtmp
last -f /var/log/wtmp.1
1. linux 遭入侵,挖礦程序被隱藏排查記錄
2. 記一次linux挖礦病毒的清除
阿里雲伺服器被挖礦minerd入侵的解決辦法
hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...
阿里雲伺服器被挖礦minerd入侵的解決辦法
hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...
阿里雲伺服器被挖礦minerd入侵的解決辦法
hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...